Google、修正されていないMicrosoftの脆弱性を公開

BetaNewsは1月17日(米国時間)、「Google reveals two more unpatched Windows security bugs」において、ここ数日話題となっているGoogleとMicrosoftにまつわる脆弱性について伝えた。同様の内容はセキュリティ系やIT系のサイトで数日前から取り上げられているが、BetaNewsではより新しい脆弱性について状況をまとめている。

Googleは各種アプリケーションの脆弱性を発見した場合、関係企業などに連絡を取るとともに、要望があれば90日間発見した脆弱性の詳細情報を公開しないという措置を取っている。これは脆弱性を修正するパッチを提供するための猶予期間ということになるが、問題が修正されているいないにかかわらず、90日後には脆弱性の情報が自動的に公開される仕組みになっている。

今回、この仕組みに従ってWindowsの脆弱性の詳細情報が公開された。この脆弱性はまだ修正されておらず、Microfotが例外的措置を取らない限り2月の定例アップデートが配信されるまで、攻撃者の目にさらされ続けることになる。Microsoftは月に1回、定期的にセキュリティパッチを配信する仕組みを採用しているため、Googleのこうした取り組みとは相性が良くないところがある。

当面は、Windowsのセキュリティ脆弱性情報が攻撃者の目に触れており、この脆弱性を利用できる状況になっていることをユーザーや管理者が認識するとともに、Microsoftから提供される情報に注目し、対応策が発表されたら迅速に対応することが望まれる。