昨年8月、あるセキュリティ研究者が偽名を使用してサンドボックスエスケーパーWindows 7 および 10 のパッチが適用されていないセキュリティ脆弱性を対象とした概念実証コードのニュースをツイートしました。

後に特定されたCVE-2018-8440この問題は Windows タスク スケジューラの Advanced Local Procedure Call (ALPC) 機能の弱点であり、わずか 2 週間後に Microsoft によって修正されました。2018 年 9 月の月次更新数日間悪用された後。

数週間後、SandboxEscaper は 2 回目の Windows ゼロデイ概念実証 (2018 年 12 月にパッチが適用されました) とともに戻ってきました。CVE-2018-8584) に続き、2018 年のクリスマスに合わせて 3 番目が (CVE-2019-0863、最終的に悪用されましたが、2019 年 5 月までパッチは適用されませんでした）。

SandboxEscaper は現在、2015 年に遡って 21 件の脆弱性を公開したことを功績としていますが、特に SandboxEscaper にとっては、それを追い続けるのが困難になっているはずです。匿名の研究者は次のように述べています。

たくさんのものを落としてしまうので、すべてを追跡するのが面倒です。

動くターゲット

それを Microsoft に伝えてください。Microsoft は今月の Windows アップデートで 3 つのゼロデイ情報開示を修正したことがわかりました (CVE-2019-1069、CVE-2019-1053、 そしてCVE-2019-0973) 2019 年 5 月単独で SandboxEscaper によってリリースされました。

しかし、そうでしたCVE-2019-08412019 年 4 月にパッチが適用されましたが、これは Microsoft の最大の課題であることが判明しました。SandboxEscaper が Microsoft パッチの連続バイパスを明らかにしたため、「バグ」として始まった問題が大騒ぎになりました。

最初に発生したのは CVE-2019-0841-BYPASS と呼ばれるホールで、今週パッチが適用されました。CVE-2019-1064。

それから来たのはパッチのバイパス元の脆弱性に対するパッチのバイパス用。

パッチにパッチがあることはまれです。パッチにパッチを重ねることはさらにまれであるため、Microsot がこの最新のホールを修正するとき (おそらく 2019 年 7 月のパッチ火曜日アップデートで)、問題が本当に解決されたことを期待していることは間違いありません。

SandboxEscaper はなぜ、明らかに無責任な方法で脆弱性に関する情報を公開することに多大な労力を費やしているのでしょうか?それは彼女にしか言えないが、伝えられるところによると、彼女の公式声明には、欠陥を6万ドルで売りたいという願望を表明した、現在は削除されているGitHubの投稿と、「米国を憎む人々」にエクスプロイトを与えたことを認めたことが含まれているという。

もちろん、脆弱性はきちんとした外科的な方法で機能するわけではありません。SandboxEscaper が知っている限り、そのエクスプロイトは、最終的に米国に非友好的な国を含む誰かを攻撃するために使用される可能性があります。

無責任な情報開示はすべての人を傷つけます。

Naked Security による 6 月の Windows の分析火曜日のパッチはここで見つけることができます。