Googleは、まだパッチが適用されていないWindowsのゼロデイ脆弱性を公開し、野生で活発に悪用されていることを明らかにしました。マイクロソフトは、グーグルの行為が「顧客に潜在的なリスクをもたらす」と主張し、この状況をあまり快く思っていないと言ってよいだろう。

10月上旬、GoogleがWindowsとFlashに深刻な脆弱性を発見。10月21日、GoogleはMicrosoftとAdobeに両製品の重大なセキュリティ問題を通知。10月26日、AdobeはFlashをアップデートして問題に対処した。しかし、マイクロソフトはまだWindowsカーネルに隠された問題を解決していない。

しかし、Googleは、10月31日にGoogle Security Blogに投稿した記事で、この脆弱性の詳細を公開しました。これは、同社が対象製品のベンダーに通知してから7日後にその存在を公表するという方針に沿ったものです。

マイクロソフト、グーグルに不満

Windowsの脆弱性についてのGoogleの説明は以下の通りです。

"Windowsの脆弱性は、Windowsカーネルにおけるローカルな特権の昇格で、セキュリティサンドボックスのエスケープとして使用される可能性があることです。これは、GWL_STYLEがWS_CHILDに設定されたウィンドウハンドル上のインデックスGWLP_IDに対するwin32k.sysシステムコールNtSetWindowLongPtr()によってトリガされることが可能です。Chromeのサンドボックスは、Windows 10のWin32kロックダウン軽減機能を用いてwin32k.sysのシステムコールをブロックし、このサンドボックス脱出の脆弱性を悪用することを防いでいます。"

これは、ハッカーが自分たちの利益のために脆弱性を悪用する方法を知るために十分な情報を提供する可能性があります。このことがマイクロソフトの気に障ったようで、マイクロソフトはVentureBeatに次のように語っている。

「私たちは、協調して脆弱性を開示することを信条としていますが、本日のGoogleによる開示は、お客様を潜在的なリスクにさらすことになります。Windows は、報告されたセキュリティ問題を調査し、影響を受けるデバイスをできるだけ早く積極的にアップデートすることを顧客に約束する唯一のプラットフォームです。お客様には、Windows 10とMicrosoft Edgeブラウザを使用し、最適な保護を行うことをお勧めします。"

これは関係者にとって良いことではありません

Adobeはすぐに脆弱性のパッチを当てることができたが、FlashのパッチはWindowsのパッチよりはるかに簡単だ。したがって、マイクロソフトは、このような迅速な公開がすべての関係者にとって不利になるという正当な主張をしているかもしれない。これは、犯罪者がセキュリティの脆弱性を突こうとするのとはわけが違う。

Windowsの脆弱性を悪用するためには、Flashの脆弱性が必要であることに留意する必要があります。少なくとも、現在の形では。そのため、最新のadobeflashを使用していることが確認できれば、今のところ被害はありません。しかし、マイクロソフトは依然としてWindowsの脆弱性を早急に修正する必要があります。

グーグルがこれほど早く脆弱性を公開したのは正しかったのか？マイクロソフトは、7日間ではこれらの問題を解決するのに十分な時間ではない、という合理的な主張をしているのでしょうか？adobeflashが最新であることを確認しましたか？下のコメント欄で教えてください

Photo credit: PirátskáStrana via Flickr