Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「IE」「Edge」にパッチ未提供の脆弱性 - 90日経過でGoogleが公開

Windowsのブラウザ「Internet Explorer」および「Microsoft Edge」に未修正の脆弱性「CVE-2017-0037」が含まれていることがわかった。

Google Project Zeroが、「型の取り違え」の脆弱性「CVE-2017-0037」について、明らかにしたもの。システムがクラッシュする実証コードも公表している。重要度は「高(High)」。同プロジェクトのメンバーである研究者が2016年11月25日にMicrosoftへ報告していたが、90日が経過したとして報告内容を公表した。

同研究者は、脆弱性を修正するセキュリティ更新プログラムが現段階で提供されていないことを理由に、脆弱性が悪用される可能性について言及を避けたが、「報告当時に対応期限を超過するとは予想しておらず、報告レポートは非常に多くの情報を含んでいる」として、影響の大きさをほのめかしている。

さらに同じくGoogle Project Zeroより、Windows GDIライブラリ「CVE-2017-0038」に関する脆弱性も公開されている。同プロジェクトでは、2016年11月16日に同脆弱性をMicrosoftへ報告したが、90日を経過したとして公表した。未修正の状態であり、重要度は「中(Medium)」。

また2月初旬には「Windows」において、悪意のあるファイル共有から細工されたパケットを受信するとシステムがクラッシュする脆弱性「CVE-2017-0016」が含まれていることも判明している。

先に明らかになった「CVE-2017-0016」は、2月の月例セキュリティ更新で修正されると見られていたが、品質確保を理由に月例更新そのものが延期。

Microsoftでは、「Adobe Flash Player」の脆弱性に関しては定例外のアップデートで対応したものの、2月に予定していたそのほかの修正は米国時間3月14日にあわせて行う方針。これら公開済みとなっている脆弱性への対応方針などは明らかにしていない。

(Security NEXT - 2017/02/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Chromium」の深刻な脆弱性、すでに悪用済み - 「MS Edge」も緊急更新
MS、「Microsoft Edge 103.0.1264.49」を公開 - ゼロデイ脆弱性に対処
「GitLab」にセキュリティアップデート - 脆弱性2件を修正
Cisco、セキュリティアドバイザリ17件を公開
ブラウザ「Chrome」に「クリティカル」の脆弱性 - 更新を
「SharePoint Server」の脆弱性悪用に要警戒 - 米当局が注意喚起
WPプラグイン「Network Summary」に深刻な脆弱性 - パッチ未提供
エレコム製無線LANルータ2機種に複数の脆弱性
エレコム製の複数無線LANルータに3件の脆弱性
「Apache Tomcat」にアップデート - 「同8.5」系は最後の更新