6月パッチ提供直後にWindows Defenderのゼロデイ脆弱性が公開

　Microsoftは6月9日(米国時間)にWindows 10/11向けの月例セキュリティパッチを配布開始したが、その直後に、セキュリティ研究者のNightmare-Eclipse氏はWindows Defenderのゼロデイ脆弱性「RoguePlanet」を公開した。6月のセキュリティパッチが適用された環境でも再現できたという。

　RoguePlanetは、Windows Defenderのレースコンディション(確認から実行までのわずかの隙を狙った差し替え)のバグを利用したエクスプロイトで、Windowsのシステム権限を奪取できる。ただし、レースコンディションのバグを突くため、環境によっては再現できない。

　同氏が公開したPoC(概念実証)はWindows Serverでは動作しないが、再設計により動作するだろうとしている。また、現時点では(レースコンディションのバグを利用するため)動かない環境もあるが、PoCの再設計により条件に関係なく成功する可能性が高いともしている。

　Nightmare-Eclipse氏は脆弱性開示においてMicrosoftと対立。同氏は脆弱性を報告するためのMSRCアカウントのアクセス権が説明なく削除されたことに不満を抱いており、それが立て続けにゼロデイ脆弱性を発表する契機になったとみられる。一方で、Microsoftは、協調的脆弱性開示に基づく情報開示がされていない行動を非難し、世界的な法執行機関と連携して法的措置を取ると発表している。

　なお、同氏はもともと7月14日にゼロデイ脆弱性を一斉発表する予定だったが、RoguePlanetの開発に予想以上に時間がかかり疲れ果てたため、大きな出来事は起こらないとしている。