ニュース
MicrosoftのMeltdown対策パッチに欠陥、Windows 7向けの修正が定例外で公開される
より容易に悪用できてしまう脆弱性を生み出す格好に。Windows 8.1/10には影響なし
2018年4月2日 11:47
米Microsoftは3月29日(現地時間)、Windows 7/Windows Server 2008 R2向けのセキュリティ更新プログラム「KB4100480」を定例外で公開した。1月から順次提供されている“Meltdown”対策のパッチが原因で、非特権プロセスによるカーネル空間のメモリすべての読み取り・書き込みを許してしまう特権昇格の脆弱性(CVE-2018-1038)が修正されている。
本脆弱性はセキュリティ研究家のUlf Frisk氏が3月27日付けのブログで“Total Meltdown”として発表していたもので、Microsoftが提供している“Meltdown”対策のパッチが非特権ユーザー空間からのメモリアクセスを許可するビットを不適切にセットしてしまうのが原因。“Meltdown”脆弱性への対策を行ったはずが、より容易に悪用できてしまう脆弱性を生み出す格好になってしまっていた。脆弱性ポータルサイト“JVN”のレポート(JVNVU#97712677)によると、脆弱性の深刻度は“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“6.8”。
「KB4100480」は現在、“Microsoft Update カタログ”から無償でダウンロード可能。“Windows Update”経由での配信も開始されているようだ。
なお、本脆弱性はWindows 8.1やWindows 10には影響しないため、セキュリティ更新プログラムの提供はない。