Googleが、メモリ上のデータを暗号化するCryptProtectMemory関数の脆弱性が「Windows 7」と「Windows 8.1」にあることを発見し、ゼロデイ攻撃の撲滅を目指すプロジェクト「Project Zero」が設ける90日間の期日が過ぎたとして、情報を公開した。
脆弱性を見つけたのは、特権昇格のバグを米国時間1月11日にも公開しているJames Forshaw氏。特権昇格のバグが公開された際には、Microsoftは苦言を呈している。
Forshaw氏によると、今回の脆弱性は、なりすましチェックの回避につながるもので「CryptProtectMemory関数はプロセス、ログオンセッション、コンピュータの3つのシナリオにおいて、アプリケーションがメモリ(にあるデータ)を暗号化できるようにするものだ。ログオンセッションのオプション(CRYPTPROTECTMEMORY_SAME_LOGON)を使うと、暗号化キーがログオンセッションIDに基づいて生成され、同一ログオン内で実行されているプロセス同士でメモリを共有することが可能になる。これは、あるプロセスから別のプロセスにデータを送信する際にも使用でき、偽装トークンからログオンセッションIDを抽出することが可能になる」とForshaw氏は述べる。
脆弱性は2014年10月17日に発見され、29日までにはMicrosoftも不具合を確認したが、互換性の問題が発生し、Googleが設ける期限までに不具合を修正できず、このたび情報が公開されることになってしまった。
「Microsoftから、1月のパッチでフィックスを配布するつもりだったが、互換性の問題があったため提供を中止せざるを得なかったという連絡を受けた。フィックスは2月のセキュリティパッチとして提供されると思われる」とForshaw氏は述べている。
Microsoftが不具合の修正に取り掛かり、Googleに情報公開を延期するよう依頼しているにもかかわらず、GoogleがWindowsのセキュリティ問題を公にするのはここ1週間で2度目。