『Windows 7』の『XP Mode』に脆弱性

セキュリティ企業 Core Security Technologies は16日、Microsoft の『Windows 7』の一部エディションに組み込まれている『Windows Virtual PC』技術に関するセキュリティ勧告を発表した。この勧告では、同技術で仮想的に実行されているアプリケーションの制御を攻撃者に乗っ取られかねない脆弱性の概念実証コードも公開されている。

Microsoft は、指摘されたセキュリティ ホールの存在について認識してはいるものの、この問題の深刻度については疑問視している。

Microsoft によれば、Windows 仮想マシン内部で実行されているアプリケーションを乗っ取ることは可能かもしれないが、今のところその脆弱性は、攻撃者にホスト OS への侵入を許すものではないという。

Microsoft の広報担当者 Paul Cooke 氏は、『Windows Security Blog』の16日付記事の中で「何よりもまず、顧客には安心していただきたい。この勧告は、Windows 7 システムのセキュリティに直接影響を与えるものではないからだ」と述べている。Windows 7 では『Windows XP Mode』が提供されており、Windows 7 上では実行できない Windows XP 用アプリケーション向けの仮想ランタイム環境を実現している。

Core は勧告の中で、2009年夏に Windows 仮想化技術のセキュリティ ホールを発見し、その時 Microsoft には通知したと主張している。

しかし、この問題を巡って数か月もやりとりを重ねた結果、Core はついに Microsoft の対応にしびれを切らした。

Core が今回公開したセキュリティ勧告には、次のように記されている。「Windows 7 のユーザーは XP Mode を利用して、Windows 7 のデスクトップから直接、仮想化した『Windows XP SP3』上で Windows アプリケーションを実行することができる。しかし、標準の Windows 脆弱性対策メカニズムを無効化するバグがあるため、ユーザーはこの機能を利用することで、うかつにもリスクを増大させてしまっている」

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール