GoogleのProject Zeroは10月30日、Windowsカーネルのゼロデイ脆弱性(CVE-2020-17087)を公表した(Project Zero - Issue 2104、 The Registerの記事、 Neowinの記事、 BetaNewsの記事)。

この脆弱性はWindowsカーネルの暗号処理ドライバー(cng.sys)に存在するバッファーオーバーフローの脆弱性で、悪用するとローカルでの特権昇格が可能になる。PoCは最新のパッチ適用済みの64ビット版Windows 10 バージョン1903でテストされているが、脆弱性は少なくともWindows 7以降に存在するとみられる。

修正は11月の月例更新で提供される見込みだが、この脆弱性を悪用する攻撃が既に確認されているため開示期限はベンダーへの報告から90日後ではなく、7日後となっている。確認されている攻撃は標的型攻撃で、米国の選挙を標的にしたものではないという。Chromiumベースのブラウザーの脆弱性(CVE-2020-15999)と連携してリモートからの攻撃も可能とのことだが、こちらはChrome 86.0.4240.111で修正済みだ。

すべて読む | セキュリティセクション | Google | セキュリティ | バグ | Windows |

関連ストーリー：
GoogleのProject Zero、バグ開示の新ポリシーをテスト 2020年01月11日
Apple、iOSの脆弱性に対する攻撃をGoogleが誇張していると批判 2019年09月08日
iOS 12.3で修正された脆弱性、iOS 12.4で復活していた 2019年08月24日
Firefoxにゼロデイ脆弱性、修正版が1日おきにリリースされる 2019年06月22日
GoogleのProject Zero、macOSのセキュリティに影響するカーネルの未修正バグを公表 2019年03月08日
米Amazon、ブランドが偽物を容易に排除可能にするサービス「Project Zero」を発表 2019年03月02日
Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 2018年08月15日
不具合修正はWindows 10を優先する、というMSの姿勢に対し批判が出る 2017年10月23日
Microsoft、Google Chromeのパッチ提供方針を批判 2017年10月21日
Windowsのマルウェア対策エンジンのバグ、2日で修正されたバグ以外のバグも報告されていた 2017年06月01日
Googleが発見したWindowsのマルウェア対策エンジンのバグ、Microsoftが2日で修正 2017年05月13日