Googleのセキュリティ担当者Tavis Ormandy氏は、攻撃者にシステム権限を与えるKasperskyキットの危険なリモートゼロデイ脆弱性を明らかにした。
このバグは、最新のウイルス対策ソフトウェア バージョンのデフォルトのインストール構成に影響を及ぼす、リモートの「ゼロ インタラクション」バッファ オーバーフローです。
「つまり、最悪の状況だ」とオーマンディ氏はツイッターで述べた。
カスペルスキーは、ゼロデイ脆弱性の公開から24時間以内にパッチをリリースすることを約束しました。同社はオーマンディ氏に感謝の意を表しましたが、公開については言及しませんでした。
同社は声明で、「今後、当社ソフトウェアの固有の欠陥を悪用されるのを防ぐため、緩和戦略を改善している」と述べた。
Kaspersky Labは、独立系研究者による当社ソリューションの評価を常に支援してきました。彼らの継続的な努力は、当社のソリューションをより強力で、より生産的で、より信頼性の高いものにするために役立っています。
エクスプロイト
セキュリティ専門家のグラハム・クルーリー氏は、この完全開示が米国のレイバーデーの連休中に行われたことに憤慨した。多くの人がこの連休を利用して旅行に出かけるため、他の週末に比べて迅速な対応が困難になっている。
「(これにより)企業が懸念するユーザーへの対応策をまとめることが極めて困難になることは明らかだ」とクルーリー氏は述べた。
「しかしながら、過去に悪意のあるハッカーがオーマンディ氏が公開した欠陥の詳細を入手し、それを攻撃に利用したという懸念は残る。」
ユーザーと管理者はできるだけ早く修正を適用する必要があります。®
