テクノロジー ニュース 非公開: Google、Microsoftの反対にもかかわらずWindows 10 Sのセキュリティ欠陥を公開

Google、Microsoftの反対にもかかわらずWindows 10 Sのセキュリティ欠陥を公開

Microsoft Restructures Entire Company Around Cloud and AI, Windows Takes a Backseat
Microsoft Restructures Entire Company Around Cloud and AI, Windows Takes a Backseat

Google の Project Zero (GPZ) 研究者は、今年初めにさまざまなプロセッサでの Meltdown および Spectre 脆弱性の発見に貢献しました。今回、MicrosoftのWindows 10 Sには 「中重大度」のエクスプロイト が存在し、ユーザーが任意のコードを実行して本質的にロックダウンされたオペレーティングシステムをジェイルブレイクできる可能性があると 発表した 。現時点ではこの欠陥を悪用するリモート コードはないようです。つまり、潜在的なハッカーは OS のロックを解除するためにデバイスに物理的にアクセスする必要があることになります。

研究者らは、この脆弱性は Windows 10 S が高特権コンポーネントの身元を確認する方法に起因していると述べています。 GPZ の高度な技術に関するメモによると、次のようになります。

「.NET COM オブジェクトがインスタンス化されるとき、mscoree の DllGetClassObject に渡される CLSID は、HKCR 内の登録情報を検索するためにのみ使用されます。この時点で、CLSID は破棄され、.NET オブジェクトが作成されます。これは、攻撃者が許可された CLSID の 1 つで任意の COM 可視クラスをロードするレジストリ キー (HKCU を含む) を追加できるため、クラス ポリシーに直接影響します。 .NET は、.NET タイプがその特定の GUID を持っているかどうかを気にしないので、これを使用して、DotNetToJScript などを悪用して任意のコード実行をブートストラップできます。」

興味深いことに、Google と Microsoft は、脆弱性の公開をめぐって、少々衝突したようです。 Googleは、1月19日にこの発見についてMicrosoftに通知し、その後レドモンドの巨人は欠陥を修正するために90日間の猶予を与えられたと述べた。結局のところ、Microsoftは当初、火曜日の5月のパッチの一部としてこの修正をリリースすることを計画していました。しかし、その期限は90日を大幅に超えていたため、Googleはその期限には参加しなかった。

その後、レドモンドの巨人は、今後の Redstone 4 アップデートでパッチを公開することを約束して、14 日間の期限延長を求めたと伝えられているが、Google は具体的な ETA がないことを理由に Microsoft を再び拒否し、意見の相違につながった。

Google、Microsoftの反対にもかかわらずWindows 10 Sのセキュリティ欠陥を公開
Google、Microsoftの反対にもかかわらずWindows 10 Sのセキュリティ欠陥を公開

「 Google、Microsoftの反対にもかかわらずWindows 10 Sのセキュリティ欠陥を公開」についてわかりやすく解説!絶対に観るべきベスト2動画

【ChromeとEdge】緊急セキュリティ更新を必ず確認しよう【ゼロデイ脆弱性】
https://www.youtube-nocookie.com/watch?v=TU7u1CBIJcg&pp=ygVnIEdvb2dsZeOAgU1pY3Jvc29mdOOBruWPjeWvvuOBq-OCguOBi-OBi-OCj-OCieOBmldpbmRvd3MgMTAgU-OBruOCu-OCreODpeODquODhuOCo-asoOmZpeOCkuWFrOmWiyZobD1KQQ%3D%3D
Windows11●10●GoogleChrome●重大なセキュリティ問題●実際に悪用●緊急セキュリティアップデート●速やかなアップデートを
https://www.youtube-nocookie.com/watch?v=esdfSzqLo6Q&pp=ygVnIEdvb2dsZeOAgU1pY3Jvc29mdOOBruWPjeWvvuOBq-OCguOBi-OBi-OCj-OCieOBmldpbmRvd3MgMTAgU-OBruOCu-OCreODpeODquODhuOCo-asoOmZpeOCkuWFrOmWiyZobD1KQQ%3D%3D
Microsoft Restructures Entire Company Around Cloud and AI, Windows Takes a Backseat
Microsoft Restructures Entire Company Around Cloud and AI, Windows Takes a Backseat

Google の Project Zero (GPZ) 研究者は、今年初めにさまざまなプロセッサでの Meltdown および Spectre 脆弱性の発見に貢献しました。今回、MicrosoftのWindows 10 Sには 「中重大度」のエクスプロイト が存在し、ユーザーが任意のコードを実行して本質的にロックダウンされたオペレーティングシステムをジェイルブレイクできる可能性があると 発表した 。現時点ではこの欠陥を悪用するリモート コードはないようです。つまり、潜在的なハッカーは OS のロックを解除するためにデバイスに物理的にアクセスする必要があることになります。

研究者らは、この脆弱性は Windows 10 S が高特権コンポーネントの身元を確認する方法に起因していると述べています。 GPZ の高度な技術に関するメモによると、次のようになります。

「.NET COM オブジェクトがインスタンス化されるとき、mscoree の DllGetClassObject に渡される CLSID は、HKCR 内の登録情報を検索するためにのみ使用されます。この時点で、CLSID は破棄され、.NET オブジェクトが作成されます。これは、攻撃者が許可された CLSID の 1 つで任意の COM 可視クラスをロードするレジストリ キー (HKCU を含む) を追加できるため、クラス ポリシーに直接影響します。 .NET は、.NET タイプがその特定の GUID を持っているかどうかを気にしないので、これを使用して、DotNetToJScript などを悪用して任意のコード実行をブートストラップできます。」

興味深いことに、Google と Microsoft は、脆弱性の公開をめぐって、少々衝突したようです。 Googleは、1月19日にこの発見についてMicrosoftに通知し、その後レドモンドの巨人は欠陥を修正するために90日間の猶予を与えられたと述べた。結局のところ、Microsoftは当初、火曜日の5月のパッチの一部としてこの修正をリリースすることを計画していました。しかし、その期限は90日を大幅に超えていたため、Googleはその期限には参加しなかった。

その後、レドモンドの巨人は、今後の Redstone 4 アップデートでパッチを公開することを約束して、14 日間の期限延長を求めたと伝えられているが、Google は具体的な ETA がないことを理由に Microsoft を再び拒否し、意見の相違につながった。

Google、Microsoftの反対にもかかわらずWindows 10 Sのセキュリティ欠陥を公開
Google、Microsoftの反対にもかかわらずWindows 10 Sのセキュリティ欠陥を公開

「 Google、Microsoftの反対にもかかわらずWindows 10 Sのセキュリティ欠陥を公開」についてわかりやすく解説!絶対に観るべきベスト2動画

【ChromeとEdge】緊急セキュリティ更新を必ず確認しよう【ゼロデイ脆弱性】
https://www.youtube-nocookie.com/watch?v=TU7u1CBIJcg&pp=ygVnIEdvb2dsZeOAgU1pY3Jvc29mdOOBruWPjeWvvuOBq-OCguOBi-OBi-OCj-OCieOBmldpbmRvd3MgMTAgU-OBruOCu-OCreODpeODquODhuOCo-asoOmZpeOCkuWFrOmWiyZobD1KQQ%3D%3D
Windows11●10●GoogleChrome●重大なセキュリティ問題●実際に悪用●緊急セキュリティアップデート●速やかなアップデートを
https://www.youtube-nocookie.com/watch?v=esdfSzqLo6Q&pp=ygVnIEdvb2dsZeOAgU1pY3Jvc29mdOOBruWPjeWvvuOBq-OCguOBi-OBi-OCj-OCieOBmldpbmRvd3MgMTAgU-OBruOCu-OCreODpeODquODhuOCo-asoOmZpeOCkuWFrOmWiyZobD1KQQ%3D%3D

最新記事一覧

関連記事一覧