グーグルは1日、Adobe Flash Playerのゼロデイ攻撃に併用されていた、Windowsのカーネルの未修正の脆弱性情報を公開した。マルウェア感染の引き金となるFlash Playerの脆弱性を解消していれば、この脆弱性の悪用には至らないが、悪用されると感染被害が甚大なものになるおそれがある。
1日未明に公開されたグーグルセキュリティブログによると、Flash PlayerとWindowsの未知の脆弱性を悪用した攻撃が観測され、10月21日(現地時間)にアドビシステムズとマイクロソフトに報告したという。
Flash Playerの脆弱性(CVE-2016-7855)は、リモートからコードが実行されるおそれのある危険な問題で、28日までにすべてのプラットホームのFlash Playerが更新されている。未更新のままでいると、Webサイトを閲覧するだけで知らない間にマルウェア(ウイルス)に感染してしまうおそれがあるので、直ちにアップデートしていただきたい。
Windowsの脆弱性は、カーネルで発生するローカルの特権昇格の問題だ。カーネルはシステムの中枢部のことで、この脆弱性を悪用すると、ユーザーの権限で実行している通常のプログラムが、システムと同じ権限を持てるようになる。Flash Playerの脆弱性を悪用して実行したマルウェアがこれを悪用すれば、システムを完全に制御できるようになり、プログラムのインストールやデータの操作、アカウントの作成などが自由に行えるようになってしまう。
ローカル特権昇格の脆弱性は、悪用されると被害が甚大なものになるが、外部から直接悪用できるものではない。悪用するためには、他のリモートコード実行の脆弱性と組み合わせる、ユーザーをだましてユーザー自身に実行させるなどの方法でシステムに侵入する必要がある。このため、ユーザーの操作なしで外部からコード実行の悪用が行われる可能性のある脆弱性に比べ、深刻度は低くなる。「緊急」「重要」「警告」「注意」の4段階で評価するマイクロソフトの深刻度評価では、併用された先のFlash Playerの脆弱性は、最も高い「緊急」だが、こちらは「重要」と評価されるタイプだ。マイクロソフトのブログによると、今月9日(現地時間8日)に公開を予定しているセキュリティ更新プログラム(修正パッチ)で修正予定だという。
悪用されにくい脆弱性ではあるが、未修正のまま公開されてしまったたため、悪用されるリスクは少なからず高まっている。「システムやブラウザ、Flash Playerをはじめとするプラグインをアップデートし、常に最新の状態に保つ」「アプリを利用する場合には、信頼できるところで配布・販売されている、安全性が確認できているものだけをインストールする」「メールの添付ファイルは、安全性が確認できたもの以外は開かない」「システムやブラウザが警告を出した場合には、作業を止めてそれ以上先に進まない」といった基本を心がけていただきたい。
(2016/11/02 ネットセキュリティニュース)
【関連URL】
・Disclosing vulnerabilities to protect users[英文](Google Security Blog)
https://security.googleblog.com/2016/10/disclosing-vulnerabilities-to-protect.html
・Our commitment to our customer's security[英文](Microsoft Malware Protection Center)
https://blogs.technet.microsoft.com/mmpc/2016/11/01/our-commitment-to-our-customers-security/