Google、Windowsの未修正脆弱性をさらに公表 112
they-are-scroogled 部門より
今回の脆弱性はCryptProtectMemory関数のオプションにログオンセッションを指定して実行した場合、ログオンセッションIDを取得する際にトークンの偽装レベルが確認されないというもの。そのため、通常ユーザーがユーザーIDレベルで偽装し、ログオンセッションのデータを復号・暗号化できるようになるという。ただし、名前付きパイプへの埋め込み攻撃に対する脆弱性や、暗号化したデータを共有メモリー領域に保持するといった脆弱性のあるサービスが存在しなければ攻撃に使われる可能性は低いようだ。Microsoftでは1月の月例更新での修正を予定していたが、互換性の問題により2月の月例更新での修正に先送りすることをGoogleにも事前に通知していた。
Googleは12月29日にも同様に期限切れとしてWindowsのアプリケーション互換性キャッシュに関する脆弱性(MS15-001、1月の月例更新でKB3023266として修正済み)を公表しており、1月11日にはWindowsの月例更新(13日)で修正するので情報の公表を待ってほしいとの通知を事前にMicrosoftから受けていたにもかかわらず、Windows User Profile Serviceの脆弱性(MS15-003、同じくKB3021674として修正済み)を公表。脆弱性情報を協調的に公開しないGoogleの姿勢をMicrosoftが批判していた。
なお、脆弱性が修正されたもの(Fixed)や、脆弱性に該当しないなどの回答があったもの(WontFix)については、Googleでは期限に関わらず公開している。Windows関連のものでは、15日にIssue 127、16日にIssue 138、156、160、206がWontFixとして公開されている。