Googleは、関係ベンダー(今回の場合はAdobeとMicrosoft)に報告してから7日後に、現在も悪用されている2つの脆弱性を公開しました。Googleによると、Adobeはすでにバグを修正しましたが、Microsoftはまだアドバイザリや修正プログラムをリリースしていないとのことです。
Googleの脆弱性開示ポリシー
2010年、Googleは他社のソフトウェアツールにおける脆弱性を、ベンダーに警告してから60日以内に公表するという基本方針を採用しました。この方針は、当時主流だった2つの選択肢、「完全開示」と「責任ある」開示の中間的なものでした。
完全な開示とは、ベンダーが他のすべての企業と同時に脆弱性を発見し、すべてのバグに関してベンダーにとって「緊急事態」となることを意味します。一方、責任ある開示とは、ベンダーがバグを修正するまで、一般の人々にバグについて警告しないことを意味します。これは、場合によってはバグを一切修正しないことを意味する場合もあれば、関係企業がバグを修正するのが遅すぎる場合もあります。
Googleは2015年、MicrosoftがGoogleが発表した期限内にバグを修正できなかったことを受けて、Microsoftとの諍いを経て、このポリシーを90日間に延長しました。また、脆弱性のある製品のベンダーが90日の期限を過ぎても、その後14日以内に修正プログラムを提供するとGoogleに伝えた場合、14日間の猶予期間を設けています。ベンダーが再びバグを修正できなかった場合、Googleは脆弱性を公表することになります。
2013年、Googleは、現在攻撃を受けている重大な脆弱性について、脆弱性開示ポリシーに7日間の期限を設けました。一般的な脆弱性開示ポリシーと比較すると7日間は短い期間に思えるかもしれませんが、Heartbleedのような深刻なバグに関しては、期限が長すぎる可能性があります。特に、攻撃者がその脆弱性を悪用してシステムに侵入し、データを窃取していることが既に判明している場合、ベンダーはユーザーのデータを保護するために、重大なバグを直ちに修正する必要があります。
AdobeとMicrosoftが積極的に悪用したバグ
10月21日、GoogleはAdobeとMicrosoftの両社に対し、攻撃者が積極的に悪用している2つの重大なバグを公開しました。5日後の10月26日には、Adobeは既にFlashの脆弱性を修正していました。
しかし、Googleによると、Microsoftはまだこのバグを修正するための公式な措置を講じておらず、バグの存在と攻撃者が積極的に悪用していることをユーザーに公表していない。もし公表されていれば、ユーザー(IT管理者を含む)はMicrosoftがパッチをリリースするまで、この脆弱性に対する防御策を講じることができるだろう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
問題の脆弱性は、Windowsカーネルにおけるローカル権限昇格であり、ブラウザなどの様々なソフトウェアツールのセキュリティサンドボックスをバイパスするために利用される可能性があります。この脆弱性は、GWL_STYLEがWS_CHILDに設定されているウィンドウハンドルのインデックスGWLP_IDに対するwin32k.sysシステムコールNtSetWindowLongPtr()を介してトリガーされる可能性があります。
Chrome は安全です (Windows 10 のみ)
Googleは、ChromeはWindows 10のWin32kロックダウン緩和機能を利用できるため、このバージョンのWindowsではChromeはこのバグの影響を受けないと述べています。しかし、他のバージョンでは脆弱性があるようです。そのため、Googleはこのバグを公表しています(このようなバグに対する7日間のポリシーに基づきます)。Microsoftがこのバグをより早く修正すれば、Windows 7および8のChromeユーザーが長期間にわたって脆弱性に悩まされることはなくなるでしょう。
Googleは、自動更新ツールによってFlashが更新されているかどうかを確認するようユーザーに呼びかけ、更新されていない場合は手動でFlashを更新するよう促しました。また、Microsoftが自社の脆弱性に対するパッチをリリースしたら、すぐにWindows OSも更新するよう呼びかけています。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
