Google、Windowsの未修正脆弱性をさらに公表

Google Security Researchは16日、Microsoftへの通知から90日の期限が経過したとして、Windowsの未修正脆弱性をまた公表した(Google Security Research — Issue 128、Computerworldの記事、本家/.)。

今回の脆弱性はCryptProtectMemory関数のオプションにログオンセッションを指定して実行した場合、ログオンセッションIDを取得する際にトークンの偽装レベルが確認されないというもの。そのため、通常ユーザーがユーザーIDレベルで偽装し、ログオンセッションのデータを復号・暗号化できるようになるという。ただし、名前付きパイプへの埋め込み攻撃に対する脆弱性や、暗号化したデータを共有メモリー領域に保持するといった脆弱性のあるサービスが存在しなければ攻撃に使われる可能性は低いようだ。Microsoftでは1月の月例更新での修正を予定していたが、互換性の問題により2月の月例更新での修正に先送りすることをGoogleにも事前に通知していた。

Googleは12月29日にも同様に期限切れとしてWindowsのアプリケーション互換性キャッシュに関する脆弱性(MS15-001、1月の月例更新でKB3023266として修正済み)を公表しており、1月11日にはWindowsの月例更新(13日)で修正するので情報の公表を待ってほしいとの通知を事前にMicrosoftから受けていたにもかかわらず、Windows User Profile Serviceの脆弱性(MS15-003、同じくKB3021674として修正済み)を公表。脆弱性情報を協調的に公開しないGoogleの姿勢をMicrosoftが批判していた。

なお、脆弱性が修正されたもの(Fixed)や、脆弱性に該当しないなどの回答があったもの(WontFix)については、Googleでは期限に関わらず公開している。Windows関連のものでは、15日にIssue 127、16日にIssue 138、156、160、206がWontFixとして公開されている。　スラッシュドットのコメントを読む | セキュリティセクション | Google | セキュリティ | マイクロソフト | バグ | Windows | IT

　関連ストーリー：
Google、古いAndroidのサポート終了か　9億台で脆弱性放置の恐れ 2015年01月14日
GoogleのリサーチャーがWindows 8.1の未修正の脆弱性を公開 2015年01月04日
米NSA局長曰く、発見した脆弱性のほとんどは公表している 2014年11月09日
Google、メッセージやその返信を元にコンテンツマッチングを行う特許を取得 2013年09月02日
Microsoftが作成したGoogle Chromeのパロディー動画が流出 2013年05月19日
今月修正されたWindowsなどの脆弱性の半分以上はGoogleが発見 2013年02月20日
Microsoft、「Gmailはユーザーのメールをのぞき見ている」と主張するサイトを公開 2013年02月12日
「ゼロデイ脆弱性」、存在に気が付くまでの期間は平均10ヶ月 2012年10月19日
Microsoft は IE のゼロデイ脆弱性を 2 か月近く前から知っていたのか 2012年09月26日
半数以上の脆弱性が放置されている ? 2010年08月31日