「IE」「Edge」にパッチ未提供の脆弱性 - 90日経過でGoogleが公開
Windowsのブラウザ「Internet Explorer」および「Microsoft Edge」に未修正の脆弱性「CVE-2017-0037」が含まれていることがわかった。
Google Project Zeroが、「型の取り違え」の脆弱性「CVE-2017-0037」について、明らかにしたもの。システムがクラッシュする実証コードも公表している。重要度は「高(High)」。同プロジェクトのメンバーである研究者が2016年11月25日にMicrosoftへ報告していたが、90日が経過したとして報告内容を公表した。
同研究者は、脆弱性を修正するセキュリティ更新プログラムが現段階で提供されていないことを理由に、脆弱性が悪用される可能性について言及を避けたが、「報告当時に対応期限を超過するとは予想しておらず、報告レポートは非常に多くの情報を含んでいる」として、影響の大きさをほのめかしている。
さらに同じくGoogle Project Zeroより、Windows GDIライブラリ「CVE-2017-0038」に関する脆弱性も公開されている。同プロジェクトでは、2016年11月16日に同脆弱性をMicrosoftへ報告したが、90日を経過したとして公表した。未修正の状態であり、重要度は「中(Medium)」。
また2月初旬には「Windows」において、悪意のあるファイル共有から細工されたパケットを受信するとシステムがクラッシュする脆弱性「CVE-2017-0016」が含まれていることも判明している。
先に明らかになった「CVE-2017-0016」は、2月の月例セキュリティ更新で修正されると見られていたが、品質確保を理由に月例更新そのものが延期。
Microsoftでは、「Adobe Flash Player」の脆弱性に関しては定例外のアップデートで対応したものの、2月に予定していたそのほかの修正は米国時間3月14日にあわせて行う方針。これら公開済みとなっている脆弱性への対応方針などは明らかにしていない。
(Security NEXT - 2017/02/27 )
ツイート
PR
関連記事
「OpenVPN」に「OVPNX脆弱性」 - 3月の更新で修正済み
Cisco、セキュリティアドバイザリ9件を公開 - 「Blast-RADIUS」の影響も
「Cisco SSM」に深刻な脆弱性 - 攻撃者によりパスワード変更可能
「Magento」「VMware vCenter」など脆弱性3件の悪用を確認 - 米当局が注意喚起
「Apache HTTPD」が今月3度目のセキュリティアップデート
SonicWallのVPN関連で複数の脆弱性 - アップデートが公開
「Apache HugeGraph」の深刻な脆弱性を狙うアクセスが増加
「Java SE」に複数の脆弱性 - アップデートで修正
Ivantiがアドバイザリを公開 - エンドポイント管理製品などに脆弱性
「Apache Airflow」に脆弱性 - アップデートが公開