Rustで書かれたWindowsカーネルコンポーネントで初めて脆弱性が発見される

　Check Point Research(CPR)は、Windowsにおける6件の脆弱性を発見したとして情報を公開した。これらの脆弱性は事前にMicrosoftに報告済みで、8月12日に提供が始まったWindowsの8月度更新にて修正が行なわれている。

　同社が発見した脆弱性は、任意コード実行につながる深刻度がクリティカルの「CVE-2025-53766」をはじめとした6件。CVE-2025-53766はWindows GDI+における解放後メモリ使用の脆弱性で、リモートコード実行につながる恐れがあるという。なお、現時点で悪用は確認されておらず、悪用の可能性についても低い。このほか、情報漏洩に悪用できるものや、システム全体のクラッシュを引き起こすものなどがある。

　今回CPRが発見した脆弱性のうち注目すべきなのは、Rust言語で書かれたWindowsカーネルのコンポーネントにおけるものだ。Rust言語はコーディングエラーを早い段階で検出し、セキュリティにおいて課題となっているメモリバグを防ぐ能力があるため、Windows 11 24H2において安全性向上の目的でカーネルに導入された。

　一方、今回発見された脆弱性は、Rustが根本的な問題を検出したことで明らかとなったのだが、問題を適切に封じ込められずシステム全体をクラッシュさせてしまったという。

　CPRはリリース内で「Rustのような高度なセキュリティ技術を使用している場合にも、複雑なソフトウェア環境でシステムの整合性を維持するためには、継続的な警戒と積極的なパッチ適用が不可欠である」と注意を促している。RustベースのWindowsカーネルの脆弱性の発見は初である可能性が高い。

　なお、8月度更新ではCheck Point Researchが報告したもの以外にも、Windows Graphicsコンポーネントにおけるリモートコード実行の脆弱性(CVE-2025-50165)や、DirectX Graphicsカーネルにおけるリモートコード実行の脆弱性(CVE-2025-50176)といった深刻度がクリティカルのものを含む、多数の脆弱性が修正されている。