GoogleのProject Zero、6月の更新で修正されていなかったWindows 10の脆弱性公表

2020年12月27日 17:49

GoogleのProject Zeroは23日、Windows 10のプリンタードライバーホスト「splwow64.exe」に存在する未修正脆弱性を公表した(Project Zero - Issue 2096Neowinの記事HackReadの記事Bleepng Computerの記事)。

この脆弱性は整合性レベル(信頼性)の低いプロセスがsplwow64(整合性レベル「中」)にLPCメッセージを送ることで、splwow64のメモリ空間に任意のデータを書き込めるというものだ。これにより、ローカルでの特権昇格が可能になる。もともとMicrosoftはCVE-2020-0986としてsplwow64の脆弱性6月に修正していたが、完全には修正されていなかったそうだ。CVE-2020-0986との違いとしては、ポインタの代わりにオフセットを送信する点だという。

Project Zeroでは9月24日にMicrosoft Security Response Center(MSRC)へ報告し、脆弱性にはMSRC-61253/CVE-2020-17008が割り当てられた。MSRCは12月の月例更新で修正する計画を示していたが、テストで問題が見つかったため修正は1月に延期される。12月23日で90日の開示期限を迎えることから14日間の猶予期間追加についてMSRCとProject Zeroは協議したが、Microsoftが期間内のパッチ提供を計画していない(次の月例更新は2021年1月12日)ため、猶予期間の追加は行われなかったとのことだ。 

関連記事

最新記事