「IE」「Edge」にパッチ未提供の脆弱性 - 90日経過でGoogleが公開
Windowsのブラウザ「Internet Explorer」および「Microsoft Edge」に未修正の脆弱性「CVE-2017-0037」が含まれていることがわかった。
Google Project Zeroが、「型の取り違え」の脆弱性「CVE-2017-0037」について、明らかにしたもの。システムがクラッシュする実証コードも公表している。重要度は「高(High)」。同プロジェクトのメンバーである研究者が2016年11月25日にMicrosoftへ報告していたが、90日が経過したとして報告内容を公表した。
同研究者は、脆弱性を修正するセキュリティ更新プログラムが現段階で提供されていないことを理由に、脆弱性が悪用される可能性について言及を避けたが、「報告当時に対応期限を超過するとは予想しておらず、報告レポートは非常に多くの情報を含んでいる」として、影響の大きさをほのめかしている。
さらに同じくGoogle Project Zeroより、Windows GDIライブラリ「CVE-2017-0038」に関する脆弱性も公開されている。同プロジェクトでは、2016年11月16日に同脆弱性をMicrosoftへ報告したが、90日を経過したとして公表した。未修正の状態であり、重要度は「中(Medium)」。
また2月初旬には「Windows」において、悪意のあるファイル共有から細工されたパケットを受信するとシステムがクラッシュする脆弱性「CVE-2017-0016」が含まれていることも判明している。
先に明らかになった「CVE-2017-0016」は、2月の月例セキュリティ更新で修正されると見られていたが、品質確保を理由に月例更新そのものが延期。
Microsoftでは、「Adobe Flash Player」の脆弱性に関しては定例外のアップデートで対応したものの、2月に予定していたそのほかの修正は米国時間3月14日にあわせて行う方針。これら公開済みとなっている脆弱性への対応方針などは明らかにしていない。
(Security NEXT - 2017/02/27 )
ツイート
PR
関連記事
Apple、「macOS Sequoia 15.4」など公開 - 多数脆弱性を解消
「CrushFTP」脆弱性、すでに被害も - 開示過程でトラブル
「CrushFTP」に認証回避の脆弱性 - 早急にアップデートを
あらたなIvanti脆弱性 - パッチ分析で特定し、3月中旬より攻撃展開か
「Ivanti Connect Secure」などにあらたなRCE脆弱性 - すでに悪用も
WP向けECサイト構築プラグイン「Welcart e-Commerce」に脆弱性
「WinRAR」にセキュリティ機能バイパスの脆弱性 - アップデートで修正
「GitLab」に複数の脆弱性 - XSSや権限管理不備など修正
Cisco、セキュリティアドバイザリ3件をあらたに公開
Mozilla、ブラウザ「Firefox 137」を公開 - 脆弱性8件を解消
