Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「IE」「Edge」にパッチ未提供の脆弱性 - 90日経過でGoogleが公開

Windowsのブラウザ「Internet Explorer」および「Microsoft Edge」に未修正の脆弱性「CVE-2017-0037」が含まれていることがわかった。

Google Project Zeroが、「型の取り違え」の脆弱性「CVE-2017-0037」について、明らかにしたもの。システムがクラッシュする実証コードも公表している。重要度は「高(High)」。同プロジェクトのメンバーである研究者が2016年11月25日にMicrosoftへ報告していたが、90日が経過したとして報告内容を公表した。

同研究者は、脆弱性を修正するセキュリティ更新プログラムが現段階で提供されていないことを理由に、脆弱性が悪用される可能性について言及を避けたが、「報告当時に対応期限を超過するとは予想しておらず、報告レポートは非常に多くの情報を含んでいる」として、影響の大きさをほのめかしている。

さらに同じくGoogle Project Zeroより、Windows GDIライブラリ「CVE-2017-0038」に関する脆弱性も公開されている。同プロジェクトでは、2016年11月16日に同脆弱性をMicrosoftへ報告したが、90日を経過したとして公表した。未修正の状態であり、重要度は「中(Medium)」。

また2月初旬には「Windows」において、悪意のあるファイル共有から細工されたパケットを受信するとシステムがクラッシュする脆弱性「CVE-2017-0016」が含まれていることも判明している。

先に明らかになった「CVE-2017-0016」は、2月の月例セキュリティ更新で修正されると見られていたが、品質確保を理由に月例更新そのものが延期。

Microsoftでは、「Adobe Flash Player」の脆弱性に関しては定例外のアップデートで対応したものの、2月に予定していたそのほかの修正は米国時間3月14日にあわせて行う方針。これら公開済みとなっている脆弱性への対応方針などは明らかにしていない。

(Security NEXT - 2017/02/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WordPress 5.1.1」がリリース - XSSの脆弱性など修正
サイトの脆弱性を診断する月額制クラウドサービス - セキュアブレイン
「Adobe Digital Editions」に深刻な脆弱性 - コード実行のおそれ
「Chrome 73」がリリース - セキュリティ関連の修正は60件
「Adobe Flash Player」にアップデート - セキュリティ修正は含まず
MS、月例パッチで脆弱性64件を解消 - 2件はゼロデイ攻撃を確認済み
「Adobe Photoshop CC」に深刻な脆弱性 - アップデートがリリース
iOS向け保険管理アプリに脆弱性 - 「Cordova」向け旧プラグインに起因
「Windows 7」に権限昇格のゼロデイ脆弱性 - 標的型攻撃で積極的な悪用
「OpenSSL」の「ChaCha20-Poly1305」実装に脆弱性