GoogleのリサーチャーがWindows 8.1の未修正の脆弱性を公開

本家/.「Google Researcher Publishes Unpatched Windows 8.1 Security Vulnerability」より

Googleのリサーチャーが脆弱性の存在をMicrosoftに伝えてから90日間が経過したとして、まだ修正されていないWindows 8.1の脆弱性がGoogle Security Researchで自動的に公開された。Windowsではahcache.sysのNtApphelpCacheControl()関数を呼び出すことでアプリケーション互換性データベースをキャッシュし、新たなプロセスが作成される際に素早く再利用できる仕組みになっている。標準ユーザーの権限ではキャッシュへの問い合わせのみが可能で、キャッシュエントリを追加するには管理者権限が必要となっており、ユーザーの権限はAhcVerifyAdminContext()関数によって確認される。簡単に言えば、前述の関数に脆弱性があり、ユーザーが管理者かどうかを判定するためのチェックが呼び出し元の偽装トークンに対して正しく行われない。この脆弱性はWindows 8.1 Update(32bit/64bit)でのみ確認されており、他のバージョンのWindowsにも存在するかどうかは未確認だという。Googleのリサーチャーが報告した問題をMicrosoftが確認しているかどうかも不明だ。脆弱性情報のページには、自動的に脆弱性を公開することを懸念するコメントもみられる。

Google Security Researchでは、UACを有効にした管理者ユーザーアカウント上で、UACのプロンプトが表示されることなく管理者権限で「電卓」アプリケーションが起動するという実証コードも公開している。なお、Microsoftではこの脆弱性に対する更新プログラムを準備中とのことだ。

スラッシュドットのコメントを読む | スラッシュドットにコメントを書く | ITセクション | Google | セキュリティ | バグ | Windows

あわせて読みたい

気になるキーワード

スラドの記事をもっと見る 2015年1月4日のIT記事
この記事にコメントする

\ みんなに教えてあげよう! /

次に読みたい関連記事「Apple」のニュース

次に読みたい関連記事「Apple」のニュースをもっと見る

次に読みたい関連記事「マイクロソフト」のニュース

次に読みたい関連記事「マイクロソフト」のニュースをもっと見る

トピックス

今日の主要ニュース 国内の主要ニュース 海外の主要ニュース 芸能の主要ニュース スポーツの主要ニュース トレンドの主要ニュース おもしろの主要ニュース コラムの主要ニュース インタビューの主要ニュース

ITニュースアクセスランキング

ITランキングをもっと見る

コメントランキング

コメントランキングをもっと見る

トレンドの人気のキーワード一覧

新着キーワード一覧

このカテゴリーについて

最新IT業界情報やiPhoneやAndroidやガジェット、話題のサービス、IoT情報、スタートアップにまつわるニュースをお届け中。