Google Project Zeroは2月24日(米国時間)、「2123 - project-zero - Project Zero - Monorail」において、Windowsのリモートコード実行の脆弱性に関する技術詳細を公開した。この脆弱性は先日のWindows Updateで既に修正されている。
-
2123 - project-zero - Project Zero - Monorail
技術詳細が公開された脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在していたのは高品質テキストレンダリング用のWindows API「Microsoft DirectWrite」で、細工されたフォントデータを読み込むことで最終的にコード実行を引き起こされるというもの。このライブラリはGoogle ChromeやMicrosoft Edgeなどさまざまなアプリケーションから幅広く使用されており注意が必要。Webフォントなどを悪用されると、遠隔からのコード実行が可能になると評価されている。
脆弱性の情報は2020年11月27日にはGoogle Project Zeroのサイトに掲載されていた。しかし、この情報は90日間の開示期限の対象となっていたことから、アップデートが提供され、かつ、情報公開から90日が経過した2021年2月24日(米国時間)に詳細が公開された。技術詳細およびPoCが公開されたことで今後サイバー攻撃者が利用する可能性が高くなるため、迅速にアップデートを適用することが望まれる。
