zscalerは5月24日(米国時間)、「Three Zero-day Vulnerabilities in Microsoft Windows」において、セキュリティ研究者によってWindows 10とInternet Explorer 11に脆弱性が発見されたと伝えた。本稿執筆時点で、Microsoftからこれら脆弱性を修正するためのパッチは提供されておらず注意が必要。
脆弱性「angrypolarbearbug2」と「bearlpe」はローカル特権昇格(LPE)の脆弱性で、Windows 10でのみ動作する。「sandboxescape」はInternet Explorer 11のサンドボックスバイパスの脆弱性。各脆弱性の概要は以下の通り。
- angrypolarbearbug2 - Windowsエラー報告ファイルおよびアクセス制御リストに関する脆弱性を悪用することで、攻撃者がシステム権限を得ることができる
- bearlpe - Windowsタスクスケジューラサービスおよびアクセス制御リストに関する脆弱性を悪用することで、攻撃者がシステム権限を得ることができる
- sandboxescape - Internet Explorer 11のサンドボックス機能を回避し、低い保護モードでコードを実行することが可能になる
研究者はこれら脆弱性のPoCおよびソースコードをすでにGitHubで公開している。今後、Microsoftから提供されるセキュリティ情報にチェックするとともに、アップデートが提供された場合は迅速に適用することが望まれる。