Windows 10 はセキュリティ上の欠陥の被害者であり、11 月 10 日までに修正されない

10 月 22 日に発見された Windows 10 のゼロデイ欠陥はまだ修正されていません。そして、たとえこの欠陥が現在悪用されているとしても、Microsoftが従来のパッチ火曜日を展開する日である2020年11月10日より前に修正されることはない。

Google が設立したサイバーセキュリティ専門家チームである Project Zero が最近注目を集めましたWindows 10に関する重大な欠陥。脆弱性の名前は、CVE-2020-17087Windows カーネル バッファ オーバーフローを引き起こします。

Microsoft のオペレーティング システムは定期的にあらゆる種類の脆弱性の影響を受けるため、これまでのところ異常はありません。しかし、マイクロソフトはそれを修正するのが遅かったため、ソースコードが公開され、ハッカーはすでにそれを悪用しようと活動しています

こちらもお読みください:Windows 10、2020 年 10 月のパッチ火曜日では、非常に危険な 1 つを含む 87 件のセキュリティ上の欠陥が修正されます

Microsoft、Windows 10 CVE-2020-17087の修正を遅らせる

Google チームによると、cng にバグが存在するとのことです。 CfgAdtpFormatPropertyBlock および関連する Windows カーネル暗号化ドライバー (cng.sys) により、16 ビット整数の切り捨ての問題が発生する可能性があります。 CVE-2020-17087 という識別子を持つこのバグは 10 月 22 日に明らかになりましたが、Microsoft はまだ修正していません。この欠陥が悪用されると、ハッカーはマシンをクラッシュさせることができ、迷惑な場合がありますが、それ自体がセキュリティ上の問題を引き起こすことはありません。一方で、彼には自分の特権を昇格させる可能性もあるこれは、PC を制御する手段を持っているため、さらに問題があることが判明します。

Googleによると、どうやらハッカーはすでにこのセキュリティ上の欠陥を悪用していましたプロジェクト チームによって発見される前に、Google は Microsoft に対して脆弱性を解決するために 7 日間の猶予を与え、その終了後に Project Zero がソース コードを公開しました。 GoogleがMicrosoftに対し、自社のオペレーティングシステムにパッチを適用するために非常に短い時間を与えたのはこれが初めてではない。 2018 年には、Windows 10 S で明らかになった脆弱性により、レドモンドの出版社は自社サイトでクラッシュ パッチをリリースすることを余儀なくされました。

したがって、今は緊急性があります。ただし、次のことに注意してください。問題の脆弱性はローカルでのみ悪用可能ですリモートではありません。範囲を強く制限するには十分です。一方、ソースコードがそのバージョンで正常にテストされた場合、Windows 10 の 1903 年プロジェクトゼロチームによると、この欠陥は Windows 7 と Windows 8.1 にも影響する可能性があります。現時点では、このセキュリティ上のギャップを埋める方法はありません。 Project Zero によると、Microsoft は修正に取り組んでいますが、次のパッチ火曜日までリリースされない予定です。次回は11月10日

先週の Chrome/freetype 0day (CVE-2020-15999) に加えて、Project Zero はサンドボックス エスケープに使用された Windows カーネル バグ (CVE-2020-17087) も検出し、報告しました。 CVE-2020-17087 の技術的な詳細は、次の場所で確認できます。https://t.co/bO451188Mk

— ベン・ホークス (@benhawkes)2020年10月30日