Microsoft、新たに発見されたマルウェア対策エンジンの脆弱性を修正

Google研究者によると、Microsoftはマルウェア対策エンジンに見つかった深刻な脆弱性を、5月25日付で修正した。

[鈴木聖子，ITmedia]

　Microsoftのマルウェア対策エンジンに深刻な脆弱（ぜいじゃく）性が見つかったとして、米Googleの研究者がProject Zeroのページで情報を公開した。研究者によれば、Microsoftは5月25日にこの問題を修正したという。

　Google研究者が公開した情報によると、脆弱性はMicrosoftのマルウェア対策製品に使われている「MsMpEng」のエミュレータに存在する。同エミュレータは、信頼できないファイルの実行に使われるもので、特権で実行され、サンドボックス化もされていない。

　「このエミュレータがサポートしているWin32 APIのリストを参照していたところ、エミュレートされたコードでエミュレータをコントロールできてしまう、ioctl-likeルーティン『ntdll!NtControlChannel』が見つかった」と研究者は報告。自分が作成したインポートライブラリを、エミュレートされたコードから呼び出せてしまうことが分かったとしている。

　この問題は、任意のコマンド実行などの攻撃に利用される恐れがあるといい、Microsoftには5月12日に報告したという。「Microsoftは黙ってこれを修正した」と研究者は伝えている。

Googleのセキュリティ研究者がProject Zeroのページで情報を公開

　Microsoftのマルウェア対策エンジンを巡っては、Googleの研究者が5月上旬にも別の脆弱性を発見し、Microsoftは月例セキュリティ更新プログラムを公開する前日に緊急対処する異例の措置を講じていた。

Microsoft、マルウェア対策エンジンの重大な脆弱性を修正
MicrosoftがGoogleの研究者が「最悪」と評していたWindowsの脆弱（ぜいじゃく）性を修正した。同社が月例セキュリティ更新プログラム公開の前日にこうした対応を取るのは極めて異例。
Windowsに新たな未解決の脆弱性、Google研究者が「最悪」と報告
米Microsoftは5月9日（日本時間の5月10日）に月例セキュリティ更新プログラムを公開する見通しだが、今回の脆弱（ぜいじゃく）性への対処は間に合わない可能性もある。
Microsoft、5月の月例セキュリティ更新プログラム公開
OfficeやWindowsの脆弱（ぜいじゃく）性は、狙った相手に不正なWord文書を電子メールで送り付ける標的型攻撃に利用されていた。
Microsoft、4月の月例更新を公開　Windows Vistaの更新は今回が最後
Windows Vistaは今回が最後の更新プログラムとなる。以後はサポートが打ち切られ、たとえ脆弱性が発覚したとしても、Vistaは修正の対象から除外される。
Windowsに未解決の脆弱性、Google研究者が情報公開
この問題は、公開が延期された2月の月例セキュリティ更新プログラムで対応される予定だったのではないかとGoogle研究者は推測している。
Windowsの未解決の脆弱性、次回月例更新プログラムで対処の見通し　危険度評価は引き下げ
CERT/CCは当初、任意のコードを実行できる可能性も指摘していたが、この部分を削除して危険度評価を引き下げた。