Googleは、Internet Explorerなどのソフトウェアを介して機密情報を収集される可能性のあるWindowsの脆弱性を公開しました。このバグは11月にMicrosoftに報告されましたが、Googleは脅威の報告から90日後に公開するため、今回公表されました。
Google のレポートで述べられている問題の核心は次のとおりです。
ここに添付されている概念実証ファイルは、1つのEMR_SETDIBITSTODEVICEレコード(ヘッダー/EOFレコードを除く)で構成されており、元々は1x1のビットマップを含んでいました。その後、DIBのサイズは手動で16x16に変更されましたが、実際の画像データは追加されていません。その結果、16x16/24bppのビットマップはわずか4バイトで記述され、1ピクセルしか表現できなくなりました。残りの255ピクセルはジャンクヒープデータに基づいて描画されており、これにはユーザーの個人情報や仮想アドレス空間に関する情報などの機密情報が含まれている可能性があります。この脆弱性は、Internet Explorerのローカル環境と、細工されたEMFファイルを含む.docxドキュメントを介してOffice Onlineのリモート環境の両方で再現されることを確認しました。
GoogleがMicrosoftよりも先に脆弱性を公開したのは、今回が初めてではありません。2014年にも同様のことが起こりました。MicrosoftはGoogleが公表したセキュリティ問題への対応を2日間遅らせました。この遅延は、Microsoftが以前から一貫して「Patch Tuesday」を掲げていたことに起因しています。同社は通常、Windowsユーザーが公開されたセキュリティ上の欠陥に対して脆弱になる場合でも、同じ平日にパッチをリリースしています。
ところが、マイクロソフトは今月初め、すべてのセキュリティパッチを3月に予定されているパッチチューズデーまで延期すると突然発表しました。この問題が明らかになった脆弱性開示プラットフォーム「Project Zero」の別のメンバーは、もしマイクロソフトが2月のセキュリティパッチを3月まで延期していなければ、このバグは2月に修正されていたかもしれないと疑問を呈しました。マイクロソフトのセキュリティパッチの延期について、私たちは以下のように書いています。
ここで問題となっているのは、Microsoftのパッチの一つに不具合があり、リリースを遅らせなければならなかったということではありません。それは当然のことであり、おそらく毎月のように起こっていることでしょう。しかし今回は、一つのパッチに不具合があったために、Microsoftが一連のセキュリティ修正全体を遅らせなければならなかったという点が異なります。この件についてMicrosoftに問い合わせましたが、同社は公式声明を参照するよう指示し、これ以上のコメントは拒否しました。
少なくとも1つの脆弱性が、セキュリティパッチが公開されていないまま公開されたことが分かりました。この問題が2月のパッチで解決されていたかどうかは分かりません(Microsoftはセキュリティ計画を世界に向けて公開しているわけではないため)。あるいは、いずれにせよ問題として残っていたかどうかも分かりません。しかし、今こそ、Microsoftがパッチのバンドル(そしてそのバンドルの遅延)に固執していることは、これまで以上に不完全な策略のように思えてきます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
「当社の最優先事項は、お客様のシステムの維持と保護において、可能な限り最高の体験を提供することです」と、マイクロソフトの広報担当者はTom's Hardwareへの声明で述べています。「一部のお客様に影響を与える可能性のある問題が直前に発見され、2月に予定していたセキュリティアップデートまでに解決されませんでした。3月14日の次回のUpdate Tuesdayでアップデートを配信します。」マイクロソフトは沈黙を守るようです。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
