GoogleのThreat Analysis Groupは最近、Chromeブラウザーに対するマルウェア攻撃に積極的に使用されていたAdobe FlashとMicrosoft Windowsカーネルの一連の有害な脆弱性を発見しました。 Googleは、10月21日にMicrosoftに開示してからわずか10日後にWindowsのセキュリティの欠陥を公表しました。Googleは、この欠陥を攻撃者やコーダーが積極的に使用して、管理者レベルのアクセスを取得してWindowsシステムのセキュリティを侵害する可能性があることも指摘しましたマルウェアを使用するコンピューター。

これは、管理者アクセスを必要とせずにユーザーレベルのアプリのみを実行するWindowsのセキュリティサンドボックスから、正直な開発者が脱出できるようにすることで実現できます。 技術についてもう少し詳しく説明すると、主にグラフィックスに使用されるレガシーサポートWindowsシステムライブラリであるwin32k.sysに、Windows環境へのフルアクセスを許可する特定の呼び出しが発行されます。 Google Chromeは既にこの種の欠陥に対する防御メカニズムを備えており、「Win32kロックダウン」と呼ばれるChromiumサンドボックスの変更を使用して、Windows 10でのこの攻撃をブロックします。

Googleはこの特定のWindowsの脆弱性を次のように説明しました。

「Windowsの脆弱性は、Windowsカーネルのローカル権限昇格であり、セキュリティサンドボックスエスケープとして使用できます。 これは、WS_CHILDに設定されたGWL_STYLEを持つウィンドウハンドルのインデックスGWLP_IDのwin32k.sysシステムコールNtSetWindowLongPtr（）を介してトリガーできます。 Chromeのサンドボックスは、Windows 10でWin32kロックダウン緩和を使用してwin32k.sysシステムコールをブロックし、このサンドボックスエスケープの脆弱性の悪用を防ぎます。

これはGoogleがWindowsのセキュリティ欠陥に最初に遭遇したわけではありませんが、脆弱性に関する公式声明を発表し、修正を発行するためにソフトウェアメーカーに与えられた公式の7日間の制限の前に公開メモを公開したことでMicrosoftを後押ししました。

「7日後、積極的に悪用された重大な脆弱性に関する公開ポリシーに従って、アドバイザリまたは修正プログラムがまだリリースされていないWindowsに残っている重大な脆弱性の存在を今日開示しています」とGoogleの脅威分析のNeel MehtaおよびBilly Leonardグループ。「この脆弱性は特に深刻です。これは積極的に悪用されていることがわかっているからです。」

ゼロデイ脆弱性は、ユーザーに新しく公開されたセキュリティ上の欠陥です。 そして、7日間が過ぎた今、Microsoftからのこのバグに関して利用可能なパッチ修正はまだありません。

GoogleがAdobeと共有したFlashの脆弱性（10月21日に公開）は10月26日にパッチされました。そのため、ユーザーは最新バージョンのFlashに簡単に更新できます。 しかし、Microsoftは、Flashのような単純なWebプラグインの場合、7日以内にパッチを発行することは難しい目標ではないことを積極的に指摘しましたが、Windowsのような複雑なOSの場合、コーディング、テスト、および発行はほとんど不可能です1週間以内のセキュリティ欠陥に対するパッチ。

Microsoftだけでなく、他の多くの主要なソフトウェアエンティティは、1週間以内に欠陥を明らかにするというGoogleのこの論争の多いポリシーに積極的に反対しましたが、Googleは、ユーザーの安全性を損なう可能性のある永続的なバグについて公安がより安全であると主張しています。