headless 曰く、

Googleは10月31日、ローカルでの特権昇格が可能となるWindowsのゼロデイ脆弱性を公表した(Google Security Blogの記事、 VentureBeatの記事、 The Registerの記事、 Ars Technicaの記事)。

この脆弱性はwin32k.sysのシステムコールを悪用して引き起こすことができ、サンドボックス迂回が可能になるというもの。悪用した攻撃が既に確認されているという。Googleでは関連する脆弱性とあわせて10月21日にAdobeとMicrosoftへ通知しており、Adobeは脆弱性(APSB16-36)に対処するFlash Playerの更新プログラムを10月26日に公開した。なお、Windows 10上のGoogle Chromeでは、Win32k Renderer lockdownにより、win32k.sysのシステムコールをブロックしてサンドボックス迂回を防止できるようになっているとのこと。

Googleは既に攻撃が確認されている脆弱性について、開発元への通知から7日経過後もアドバイザリーやパッチが公開されていなければ公表するというポリシーを設定している。Microsoftの対応はまだ行われていないが、Googleは通知から7日以上経過したとして脆弱性を公表した。これに対しMicrosoftでは、修正前の脆弱性を公表することはユーザーを危険にさらすものであるとして批判する一方、最高レベルの保護を可能にするためWindows 10とMicrosoft Edgeの使用を推奨しているとのこと。

攻撃の詳細などは明らかにされていないが、Microsoftに近いVentureBeatの情報提供者によれば、Googleの開示したエクスプロイトはFlash Playerの脆弱性を悪用するものだという。既にFlash Playerの脆弱性は修正されているため、最新版に更新することで攻撃は回避できるとみられる。