Google Project Zeroのセキュリティ研究者であるMaddie Stone氏は12月24日、2020年6月に公開されたWindows 10のゼロデイの脆弱性が依然として修正されていないとTwitterで伝えた。同氏は2020年6月に実施されたMicrosoftによるアップデートでの対策は不十分なものであり、依然として特権昇格およびコード実行の脆弱性が存在していると指摘している。
-
Maddie Stone氏のツイート
脆弱性の詳細は次のページにまとまっている。
-
Project Zero: CVE-2020-0986: Windows splwow64 Untrusted Pointer Dereference
この脆弱性はKasperskyによって発見されてMicrosoftへ報告された。Microsoftは2020年6月のアップデートでこの脆弱性を修正している。しかし、その修正が不十分なものであることをGoogle Project Zeroの研究者が発見し、2020年9月にMicrosoftへ報告。しかし、90日間を経ても修正が行われなかったことから、今回の情報公開に至ったとされている。研究者は2021年に問題が修正されることが期待されるとしている。
