OS関連の新しいバグ(脆弱性)を11月中に毎日1件ずつ公表するプロジェクト「Month of Kernel Bugs(MoKB:カーネル・バグ月間)」は11月6日,Windows 2000およびXPが影響を受ける脆弱性を公表した。パソコン上(ローカル)で細工が施されたプログラムを実行されると,ユーザー権限を不正に昇格される恐れなどがあるという。

 MoKBは順調に進んでおり,現在までのところ,OS関連の脆弱性が毎日1件ずつ公開されている。11月1日にはその第1弾として,Mac OS Xのデバイス・ドライバに関する脆弱性が公表された(関連記事:第1弾はMac関連のバグ)。その後,Linux 2.6.xやFreeBSD 6.1,Solaris 10に関する脆弱性が公表され,11月6日にはWindowsに関する脆弱性が公開された。

 今回公開された脆弱性は,Windowsのグラフィック・デバイス・インタフェース(GDI)に関するもの。脆弱性を突くようなプログラムをローカルで実行すると,Windowsを不正終了させたり(ブルー・スクリーンを表示させたり),許可されている以上のユーザー権限を奪ったりすることが可能になるという。実際,脆弱性をついてWindowsを不正終了させる検証コードが公表されている。

 今回の脆弱性はローカルからしか悪用できない模様。このため危険度は小さいと考えられる。例えばセキュリティ・ベンダーのデンマークSecuniaでは,危険度(Critical)を5段階評価で下から2番目の「Less critical」に設定している。

 現時点ではマイクロソフトからセキュリティ情報や修正パッチは公開されていない。また,設定変更などによる回避策は今のところ存在しない。Secuniaでは「信頼できるユーザーだけに対象システム(Windows 2000/XP)へのアクセスを許可する」ことを回避策として挙げている。なおWidnows Server 2003やVista(ベータ版)には,今回の脆弱性は存在しないという。

MoKBの情報