米国家安全保障局(NSA)が5日、リバースエンジニアリングツール「Ghidra」を公開した(特設サイト、 NSAの紹介ページ、 RSA Confereneのセッション紹介、 The Registerの記事)。

GhidraはNSAがマルウェア解析などを目的として開発したもので、1月に公開が予告されていた。ライセンスはApache 2.0となっており、ソースコードも公開予定のようだが、GitHubのリポジトリは現在のところプレースホルダーのみとなっている。バイナリは特設サイトからダウンロード可能で、実行にはJavaが必要だ。

NSAのシニアアドバイザー、ロバート・ジョイス氏は同日、RSA Conference 2019でGhidraを紹介している。ジョイス氏はGhidraがバックドアを備えていないと主張したが、デバッグモードで実行するとローカルネットワーク上からコマンドを実行可能なバグらしきものが見つかっているとのことだ。

GoogleのThreat Analysis Groupは7日、Windowsのゼロデイ脆弱性を公表した(Google Security Blogの記事、 Softpediaの記事、 9to5Googleの記事、 Ars Technicaの記事)。

この脆弱性はwin32k.sysにおけるローカルでの特権昇格で、悪用するとサンドボックス迂回が可能になるというものだ。先日Chrome 72.0.3626.121で修正されたゼロデイ脆弱性(CVE-2019-5786)とともに攻撃に使われており、それぞれ2月27日に脆弱性を報告していたという。

ゼロデイ攻撃は32ビット版のWindows 7をターゲットにしたものが確認されており、より新しいバージョンのWindowsでは脆弱性の新しい緩和技術が追加されていることから、実際に影響を受けるのはWindows 7のみとみられる。Chromeの脆弱性は修正されているものの、他のブラウザーの脆弱性と組み合わせてサンドボックス迂回に使われる可能性がある。Microsoftは修正を進めているとのことだが、ゼロデイ攻撃が確認されている場合は報告から7日後に公表するというGoogleの脆弱性開示方針に基づいて脆弱性が公表された。

ブログ記事では緩和策として、古いバージョンのWindowsを使用している場合はWindows 10へのアップグレードを検討すること、Windowsのパッチが公開されたら適用することを推奨している。