WindowsのGDIライブラリに脆弱性が存在することは昨年明らかになっており、Microsoftは2016年6月のセキュリティアップデートにおいてこの脆弱性を修正するためのパッチを提供した。しかし、Googleのセキュリティ研究者はそのセキュリティパッチだけでは脆弱性を修正することはできないと指摘。このたび、Google Project Zeroの規約に則り、マイクロソフトへの報告から90日後に問題の詳細を公開したようだ。
Googleのセキュリティ研究者が公開した脆弱性の詳細情報は「992 - Windows gdi32.dll heap-based out-of-bounds reads / memory disclosure in EMR_SETDIBITSTODEVICE and possibly other records - project-zero - Monorail」において確認できる。詳細情報は2016年11月の段階で公開されているが、この脆弱性はまだ修正されていない。
Threatpostに2月21日(米国時間)に公開された記事「GOOGLE DISCLOSES UNPATCHED MICROSOFT VULNERABILITY」は、Microsoftは2017年2月のアップデートにこの脆弱性を修正するパッチを含めるのをやめ、少なくとも3月のアップデートまで延期したようだと指摘。2017年3月のアップデートでもこの脆弱性を修正するパッチが含まれない可能性もある。Microsoftからセキュリティアップデートが提供された場合、迅速にアップデートを適用することが望まれる。