Googleは、Windowsに存在するこれまで公表されていなかった脆弱性の詳細を公表しました。同社によると、ハッカーが積極的に悪用しているとのことです。そのため、GoogleはMicrosoftに対し、この脆弱性を修正する期限をわずか1週間と定めました。期限は過ぎ、Googleは本日午後、脆弱性の詳細を公開しました。
この脆弱性には名前はありませんが、CVE-2020-17087 というラベルが付けられており、少なくとも Windows 7 と Windows 10 に影響を及ぼします。
このバグを発見したGoogleのセキュリティバグハンターの精鋭集団であるProject Zeroは、このバグによって攻撃者がWindowsにおけるユーザーアクセス権限を昇格できると述べています。攻撃者は、このWindowsの脆弱性を、Googleが先週公開し修正したChromeの別のバグと組み合わせて利用しています。この新たなバグにより、攻撃者は通常は他のアプリから隔離されているChromeのサンドボックスを回避し、OS上でマルウェアを実行できるようになります。
Project Zeroの技術リーダーであるベン・ホークス氏はツイートの中で、マイクロソフトは11月10日にパッチをリリースする予定だと述べた。
マイクロソフトは質問に対し、この日付を独自に確認することはなかったものの、声明の中で次のように述べている。「マイクロソフトは、お客様を保護するために、報告されたセキュリティ問題を調査し、影響を受けるデバイスを更新するというお客様へのコミットメントを負っています。今回のシナリオのような短期的な期限も含め、すべての研究者の開示期限を守るよう努めていますが、セキュリティ更新プログラムの開発は、タイムリーさと品質のバランスが重要です。私たちの最終的な目標は、お客様への影響を最小限に抑えながら、最大限のお客様保護を実現することです。」
先週のChrome/freetypeのゼロデイ脆弱性(CVE-2020-15999)に加え、Project Zeroはサンドボックスからの脱出に利用されたWindowsカーネルのバグ(CVE-2020-17087)も検出し、報告しました。CVE-2020-17087の技術的詳細は、https://t.co/bO451188Mkでご覧いただけます。
— ベン・ホークス(@benhawkes)2020年10月30日
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
しかし、攻撃者が誰なのか、またその動機は不明だ。Googleの脅威情報担当ディレクター、シェーン・ハントリー氏は、攻撃は「標的型」であり、米国大統領選挙とは無関係だと述べた。
マイクロソフトの広報担当者はまた、報告された攻撃は「非常に限定的で標的を絞った性質のものであり、広範囲に及んでいることを示す証拠は確認されていない」と付け加えた。
これは、今年Windowsに影響を与える重大な脆弱性のリストにおける最新のものです。マイクロソフトは1月に、国家安全保障局(NSA)の協力を得てWindows 10の暗号化バグを発見したものの、悪用された形跡はないと発表しました。しかし、6月と9月には、国土安全保障省が2つの「重大」なWindowsのバグについて警告を発しました。1つはインターネット全体に拡散する可能性があり、もう1つはWindowsネットワーク全体に完全にアクセスできる可能性がありました。
Microsoft からのコメントで更新されました。
国土安全保障省が「重大な」Windowsのバグに関して異例の緊急警報を発令
トピック
Chrome OS 、コンピュータ セキュリティ、 Elite 、 Google 、 Google Chrome 、マルウェア、 Microsoft 、 Microsoft Windows 、オペレーティング システム、オペレーティング システム、セキュリティ、ソフトウェア、脆弱性、 Windows 7 、 Windows XP
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
