reynotch

reynotch

-
 GoogleがまたもやマイクロソフトのOSであるWindowsのゼロデイ脆弱性に関する情報を公開しました。
 

The function CryptProtectMemory allows an application to encrypt memory for one of three scenarios, process, logon session and computer.
Issue 128 - google-security-research - Windows: Impersonation Check Bypass With CryptProtectMemory and CRYPTPROTECTMEMORY_SAME_LOGON flag - Google Security Research - Google Project Hosting



 リンク先の日付を見るとわかりますがこの脆弱性をGoogleが見つけたのは2014年10月17日です。
 
 Googleには「Project Zero」というゼロデイ攻撃撲滅に取り組む専門のチームがあり、利用者規模の大きいソフトウェアを中心に脆弱性の調査を行っています。このプロジェクトではゼロデイ脆弱性を発見すると前述のリンク先である「GoogleCode」に登録後、その脆弱性があるソフトウェアのベンダーにのみ報告します。そして、自身が定める期限である90日を過ぎるとGoogleはそのゼロデイ脆弱性情報を公開します。
 
 今回、マイクロソフトは90日以内である1月の修正パッチで対応を完了する予定でしたが、互換性の問題から提供をいったん中止せざるをえませんでした。そして、そのことをGoogleに伝えていたのですが、Googleはあくまでも自社の定めた基準通りに公開したのです。

Google Project Zero Discloses a third Windows flaw that Microsoft failed to fix | Security Affairs


 実は先月も同様のことがありました。Googleは、2014年12月29日(米国時間)にWindowsの別のゼロデイ脆弱性を公開しています。この脆弱性に対しマイクロソフトは1月13日に修正パッチを提供するので公開を待つようにGoogleに依頼していたのですが、それを無視して公開に踏み切っています。マイクロソフトは以下のように非難しています。
 
MSがGoogle非難、Windowsの脆弱性情報公開を巡り - ITmedia エンタープライズ
「結果として被害を被るのは顧客だ。Googleにとって正しいことが顧客にとって常に正しいとは限らない。我々はGoogleに対し、顧客の保護を我々共通の第1目標とすることを求める」と促した。


 その一方でGoogleは世界でまだ9億台あまりの端末に搭載されているバージョン4.3(Jelly Bean)までのAndroidについて、脆弱性を修正するパッチの提供を打ち切っています。
 
Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ - ITmedia ニュース
Googleは最近まで、Android 4.3(Jelly Bean)の脆弱性について報告を受けると迅速に対応していた。ところが、このほど新たに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発しない。4.4より前のバージョンに影響する報告で、パッチを伴わないものについては、OEMに通知する以外の対応はできない」と返事があったという。


 「Project Zero」は、利用者規模が大きいソフトウエアであればベンダーや種類などに関わらず調査の対象にするとしていますが、9億台もの端末で利用されている自社ソフトウェアは対象外なんでしょうかね?それともサポート切れだから不要?
 
 そんなGoogleにマイクロソフトからの言葉をあらためて送りたいと思います。


結果として被害を被るのは顧客だ。Googleにとって正しいことが顧客にとって常に正しいとは限らない。
MSがGoogle非難、Windowsの脆弱性情報公開を巡り - ITmedia エンタープライズ



関連記事


Kitkat以外全部危険 全Androidデバイスの86.4%に機密情報漏えいの可能性|I believe in technology
まだ国内IT系サイト等ではほとんど取り上げられていないのですが、2014年6月23日に、IBMの情報セキュリティプロフェッショナル向けのサイトで、Kitkat以外のすべてのAndroidのバージョンに機密情報漏えいにつながる脆弱性があることが公表されました。