「IE」「Edge」にパッチ未提供の脆弱性 - 90日経過でGoogleが公開
Windowsのブラウザ「Internet Explorer」および「Microsoft Edge」に未修正の脆弱性「CVE-2017-0037」が含まれていることがわかった。
Google Project Zeroが、「型の取り違え」の脆弱性「CVE-2017-0037」について、明らかにしたもの。システムがクラッシュする実証コードも公表している。重要度は「高(High)」。同プロジェクトのメンバーである研究者が2016年11月25日にMicrosoftへ報告していたが、90日が経過したとして報告内容を公表した。
同研究者は、脆弱性を修正するセキュリティ更新プログラムが現段階で提供されていないことを理由に、脆弱性が悪用される可能性について言及を避けたが、「報告当時に対応期限を超過するとは予想しておらず、報告レポートは非常に多くの情報を含んでいる」として、影響の大きさをほのめかしている。
さらに同じくGoogle Project Zeroより、Windows GDIライブラリ「CVE-2017-0038」に関する脆弱性も公開されている。同プロジェクトでは、2016年11月16日に同脆弱性をMicrosoftへ報告したが、90日を経過したとして公表した。未修正の状態であり、重要度は「中(Medium)」。
また2月初旬には「Windows」において、悪意のあるファイル共有から細工されたパケットを受信するとシステムがクラッシュする脆弱性「CVE-2017-0016」が含まれていることも判明している。
先に明らかになった「CVE-2017-0016」は、2月の月例セキュリティ更新で修正されると見られていたが、品質確保を理由に月例更新そのものが延期。
Microsoftでは、「Adobe Flash Player」の脆弱性に関しては定例外のアップデートで対応したものの、2月に予定していたそのほかの修正は米国時間3月14日にあわせて行う方針。これら公開済みとなっている脆弱性への対応方針などは明らかにしていない。
(Security NEXT - 2017/02/27 )
ツイート
PR
関連記事
ルータなどバッファロー製46モデルに脆弱性 - 一部サポート終了も
テキストエディタ「Vim」に脆弱性 - 細工ファイル開くとコード実行
「NetScaler ADC/Gateway」の脆弱性悪用を確認 - 米当局が注意喚起
脆弱性狙われる「BIG-IP APM」、国内で利用あり - 侵害調査など対応を
「F5 BIG-IP APM」脆弱性の悪用が発生 - 当初発表より深刻なリスク
「OpenBao」に認証関連で複数のクリティカル脆弱性
「Roundcube」にセキュリティアップデート - 更新を強く推奨
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
