loader
bg-category
Microsoftは深刻なWindowsの脆弱性について人々に語ったため、Microsoftは「悲しい」

友達と共有します

著者の記事: Kenneth Douglas

短いバイト GoogleはMicrosoftに、セキュリティサンドボックスを回避するために使用される可能性があるWindowsカーネルの重大な脆弱性について説明しました。約10日待った後、Googleはついにこれまで知られていなかった脆弱性の存在について人々に話しました。マイクロソフトは、同じ問題に対する修正プログラムをまだリリースしていません。

Googleは、サンドボックスセキュリティを回避するために使用される可能性があるMicrosoft Windows OSに存在するアクティブな脆弱性を開示しました。この調査大手は10月21日にMicrosoftにこの脆弱性について以前に報告したが、Redmondの家からパッチや勧告がリリースされるのを見たことはなかった。そのとき、ブログの投稿で、グーグルは彼らの開示方針に従ってこれまで知られていなかった重要なWindows Zero day day脆弱性について一般に語った。

「Windowsの脆弱性は、セキュリティサンドボックスのエスケープとして使用される可能性があるWindowsカーネルのローカル権限昇格です。これは、GWL_STYLEがWS_CHILDに設定されているウィンドウハンドル上のインデックスGWLP_IDに対するwin32k.sysシステムコールNtSetWindowLongPtr()を介してトリガできます。 「サンドボックスエスケープの脆弱性が悪用されるのを防ぐため、Chrome 10のサンドボックスは、Windows 10上でWin32kロックダウンの緩和策を使用してwin32k.sysシステムコールをブロックします。」

同社は、このバグが活発に悪用されているという事実と、それが懸念事項である理由を認識しています。

マイクロソフトは不愉快に思えましたが、ゼロデイバグに関する声明を発表することに消極的でした。 Microsoftの広報担当者は、後にVenture Beatに対し、「私たちは協調的な脆弱性の開示を信じており、今日のGoogleによる開示は潜在的なリスクにさらされている」と述べた。

Googleはまた、10月21日にFlashの脆弱性CVE-2016-7855についてAdobeに通知し、同じパッチが適用されました。ユーザーは自分のマシンでAdobe Flashを更新するだけで、Chromeの自動更新からも利用できるようになります。 GoogleがWindowsのバグを一般に公開したのは今回が初めてではありません。彼らは1月にWindows 8.1のためにそれをやった。

徹底的にテストする前に1週間の時間がセキュリティパッチをリリースするのに十分ではない、と多くのソフトウェア会社が主張します。そしてセキュリティ研究者は、この脆弱性はパッチがリリースされたときにのみ開示されるべきだと考えています。

あなたが追加するものがあるならば、以下のコメントで我々に言いなさい。

友達と共有します

あなたのコメント