GoogleのThreat Analysis Groupは7日、Windowsのゼロデイ脆弱性を公表した(Google Security Blogの記事、 Softpediaの記事、 9to5Googleの記事、 Ars Technicaの記事)。

この脆弱性はwin32k.sysにおけるローカルでの特権昇格で、悪用するとサンドボックス迂回が可能になるというものだ。先日Chrome 72.0.3626.121で修正されたゼロデイ脆弱性(CVE-2019-5786)とともに攻撃に使われており、それぞれ2月27日に脆弱性を報告していたという。

ゼロデイ攻撃は32ビット版のWindows 7をターゲットにしたものが確認されており、より新しいバージョンのWindowsでは脆弱性の新しい緩和技術が追加されていることから、実際に影響を受けるのはWindows 7のみとみられる。Chromeの脆弱性は修正されているものの、他のブラウザーの脆弱性と組み合わせてサンドボックス迂回に使われる可能性がある。Microsoftは修正を進めているとのことだが、ゼロデイ攻撃が確認されている場合は報告から7日後に公表するというGoogleの脆弱性開示方針に基づいて脆弱性が公表された。

ブログ記事では緩和策として、古いバージョンのWindowsを使用している場合はWindows 10へのアップグレードを検討すること、Windowsのパッチが公開されたら適用することを推奨している。