GoogleのProject Zeroの研究者は、攻撃者によって悪用されている可能性があるWindowsのゼロデイ脆弱性の詳細を公開した。このメモリ破壊の欠陥は Windowsカーネル暗号化ドライバにあり、Project Zeroによれば、「(サンドボックスからの脱出などの)特権昇格のために悪用される可能性のある局所的にアクセス可能な攻撃面を構成している」とのことだ。

研究者はまた、彼らが最近のバージョンのWindows 10(バージョン1903, 64ビット)でテストした概念実証(PoC)コードをリリースし、セキュリティバグはWindows 7以降に存在している可能性があると考えている。潜在的にはWindows 7から10までのすべてのバージョンが影響を受ける可能性があることを意味する。

TechChrunchの報道によると、この欠陥は、CVE-2020-15999としてインデックスされている別のゼロデイに関連して悪用されており、Google Chrome ウェブブラウザの一部でもある広く使用されているソフトウェア開発ライブラリであるFreeTypeに影響を与えている。

Googleは、CVE-2020-17087 として追跡されている新たに発見されたバグの発見をMicrosoftに報告したが、ループホールが悪用されている証拠を発見したため、7 日間の公開期限を選択した。

現在のところ、セキュリティのループホールにはパッチがないが、Project ZeroのテクニカルリーダーであるBen Hawkesは、11月10日にパッチがリリースされることを期待しているとツイートしている。

一方、MicrosoftはTechCrunchに次のような声明を出している。

「マイクロソフトは、報告されたセキュリティ問題を調査し、影響を受けたデバイスをアップデートして顧客を保護することを顧客に約束している。我々は、このシナリオのような短期的な期限を含め、すべての研究者の開示のための期限を遵守するように努めているが、セキュリティアップデートを開発することは、適時性と品質のバランスをとることであり、我々の最終的な目標は、顧客の混乱を最小限に抑えながら、最大の顧客保護を確保するのを支援することだ」。

同社の広報担当者はまた、この攻撃は非常に限定的なもののようで、それが広範囲の問題であることを示す証拠はないと付け加えています。この攻撃は、来るべき米国大統領選挙とは関係ないと考えられています。

今年に入ってからマイクロソフトは、3月に発生したゼロデイと、米国家安全保障局(NSA)によって発見されたゼロデイを含む、Windowsのいくつかの深刻なバグを開示し、パッチを当ててきた。