マイクロソフトは、Windows 10 のセキュリティバグを静かに修正しており、Windows 7 および 8 には同じアップデートをすぐには展開していないため、何億台ものコンピューターが攻撃の危険にさらされている可能性がある。
ハッカーやマルウェアに悪用される可能性のある欠陥やその他のプログラミング上の欠陥は、Windows 10の大型リリース(Anniversary UpdateやCreator's Updateなど)でひっそりと修正されています。しかし、この重要な修復作業は、月例ソフトウェアアップデートという形でWindows 7やWindows 8に反映されるのは、ごくわずかです。
これはすべて、Googleの精鋭チーム「Project Zero」の研究者によるものです。懸念されるのは、Windowsの様々なパブリックビルドを比較する悪意ある人物が、これらの脆弱性がWindows 10でひっそりと修正されていることに気づき、世界中の家庭や企業で今も使われている以前のバージョンのWindowsにも同じ脆弱性が存在することに気づき、バグを悪用してシステムに感染させ、人々をスパイするのではないかということです。もしハッカーがまだこのことに気づいていないとしても、今や気づくでしょう。Googleのスタッフがこの件についてブログで公開しています。
レドモンドのエンジニアたちは、Windows 10オペレーティングシステム内のコンポーネントを改善する取り組みの一環として、これらのWindowsのセキュリティ上の欠陥にひそかに対処しています。例えば、あるチームがカーネルのメモリ管理の改善を任され、その結果、ソースコードの大部分を書き換えることになり、ソフトウェアのパフォーマンスを向上させると同時に、その過程で厄介な悪用可能なバグを撲滅することになります。マーケティング部門にとって、これは素晴らしいニュースです。読み込み時間が短縮されたことを誇れるからです。一方、マルウェア開発者は、プログラミング上の欠陥がWindows 8と7にも依然として存在していることを発見し、喜ぶことでしょう。
「マイクロソフトは、最新のWindowsプラットフォームにのみ、数多くの構造的なセキュリティ改善や、時には通常のバグ修正を導入することで知られている」と、Google Project Zeroの研究者であるマテウシュ・ユルチク氏は木曜日に述べた。
ヨーロッパで誰かが誤って消火器を作動させたため、Azureは7時間にわたって停止した
続きを読む
「これにより、古いシステムのユーザーに誤った安心感を与え、異なるバージョンの Windows の対応するコードの微妙な変更を見つけるだけで検出できるソフトウェアの欠陥に対して脆弱な状態に陥ります。」
Jurczyk氏は、問題の例として、カーネル内での memset() の不安定な使用法を指摘しました。これは、メモリの特定の領域内のバイトをゼロなどの特定の値に上書きし、そのメモリ領域に以前保存されていた内容をすべて消去する関数です。
アプリケーションがNtGdiGetGlyphOutlineシステムコールを介してカーネルにメモリ領域を情報で埋め、それをアプリケーションのメモリ空間にコピーするよう指示した場合、OSはコピー操作の前にmemset()を使用してその領域を完全に上書きしません。つまり、カーネルはアプリケーションのメモリ空間にカーネルのプライベートデータが残されたままコピーしてしまい、本来漏洩すべきではない情報が漏洩してしまうことになります。これは、OSや他のプログラムを盗聴したり、システムの内部動作に関する十分なノウハウを得て、より深刻な攻撃を実行したりするために利用される可能性があります。
この情報漏洩バグはWindows 10で修正されましたが、Windows 7とWindows 8.1では依然として存在していました。Project Zeroが今年5月末にMicrosoftに報告し、9月にWindows 7および8.1システム向けのパッチで修正されるまでは。Googleは通常、Microsoftを含むベンダーに対し、報告されたセキュリティ上の欠陥を公表する前に90日間の猶予を与えており、開発者やメーカーは対応を迫られています。
旧バージョンのWindowsへのパッチ適用が数ヶ月も遅れているため、システムは攻撃に対して脆弱な状態にあります。MicrosoftはWindows 10のセキュリティ対策を広範囲にアップグレードすることで、ハッカーが旧バージョンの脆弱性を悪用できる箇所を容易に把握できるようにしています。
「一部の顧客が攻撃にさらされるだけでなく、攻撃ベクトルが目に見える形で明らかになり、ユーザーのセキュリティに直接悪影響を与えることになる」とJurczyk氏は説明した。
「これは、カーネル メモリの漏洩や追加された memset 呼び出しなど、明らかに修正が必要なバグ クラスに特に当てはまります。」
ベンダーが古いソフトウェア バージョンに対してメジャー アップデートを維持し、パッチを無期限にリリースすることを期待するのは現実的ではありませんが、Windows ユーザーの最大半数が依然として Windows 7 および 8 を使用しているため、皮肉なことに、何百万人ものユーザーが Windows 10 のセキュリティ強化によって危険にさらされていることになります。
Windows 8.1 は 2023 年 1 月 10 日まで、Windows 7 は 2020 年 1 月 14 日まで毎月のセキュリティ修正プログラムを受け取る予定です。
「Windows は、報告されたセキュリティ問題を調査し、影響を受けるデバイスをできるだけ早く積極的に更新することを顧客に約束しています」と Microsoft の広報担当者は The Register に語った。
さらに、当社は多層防御セキュリティに継続的に投資しており、最高の保護を実現するために、お客様に Windows 10 と Microsoft Edge ブラウザの使用を推奨しています。
翻訳: Windows 7と8の使用をやめてください。®
