headless 曰く、

Google Security Researchは16日、Microsoftへの通知から90日の期限が経過したとして、Windowsの未修正脆弱性を公表した(Google Security Research — Issue 128、 Computerworldの記事、 本家/.)。

今回の脆弱性はCryptProtectMemory関数のオプションにログオンセッションを指定して実行した場合、ログオンセッションIDを取得する際にトークンの偽装レベルが確認されないというもの。そのため、通常ユーザーがユーザーIDレベルで偽装し、ログオンセッションのデータを復号・暗号化できるようになるという。ただし、名前付きパイプに対する埋め込み攻撃に対する脆弱性や、暗号化したデータを共有メモリー領域に保持するといった脆弱性のあるサービスが存在しなければ攻撃に使われる可能性は低いようだ。Microsoftでは1月の月例更新での修正を予定していたが、互換性の問題により2月の月例更新での修正に先送りすることをGoogleにも事前に通知していた。

Googleは12月29日にも同様に期限切れとしてWindowsのアプリケーション互換性キャッシュに関する脆弱性(MS15-001、1月の月例更新でKB3023266として修正済み)を公表しており、1月11日にはWindowsの月例更新(13日)で修正するので情報の公表を待ってほしいとの通知を事前にMicrosoftから受けていたにもかかわらず、Windows User Profile Serviceの脆弱性(MS15-003、同じくKB3021674として修正済み)を公表。脆弱性情報を協調的に公開しないGoogleの姿勢をMicrosoftが批判していた。

Googleではこのほか脆弱性が修正されたもの(Fixed)や、脆弱性に該当しないなどの回答があったもの(WontFix)については、期限に関わらず公開している。Windows関連のものでは、15日にIssue 127が、16日にIssue 138、156、160、206がWontFixとして公開されている。