米Googleの研究者がMicrosoftのWindowsに存在する未解決の脆弱性を発見したとして、コンセプト実証コードなどを公開した。

それによると、脆弱性はWindowsのGDIライブラリ（gdi32.dll）に実装されているEMFレコードに組み込まれたDIB（Device Independent Bitmap）の処理に起因する。Googleの研究者は過去にもこれに関連する脆弱性を報告していたといい、その後一部の脆弱性は修正されたが、まだ未解決の問題が残っているのが見つかったと報告した。

Windowsの脆弱性が報告されたページ

悪用されればユーザーの個人情報や仮想アドレススペースに関する情報などセンシティブな情報が流出する恐れがあるとされ、危険度は「中程度」と評価している。研究者は細工を施したEMFファイルをWord文書に仕込む手口を使い、ローカルのInternet ExplorerとリモートのOffice Onlineの両方で、この脆弱性を再現できることを確認したとしている。

Microsoftには2016年11月16日に報告したが、90日以内に修正されなかったことから情報を公開したと研究者は説明。この問題は、公開が延期された2月の月例セキュリティ更新プログラムで対応される予定だったのではないかと推測している。

関連キーワード 脆弱性 | Google | Windows | Microsoft



Copyright © ITmedia, Inc. All Rights Reserved.