セキュリティ企業0patchがまたしてもMicrosoftより先に、Windowsのゼロデイ脆弱性に対する非公式のパッチをリリースしたことがわかりました(BetaNews)。
今回のパッチは、WindowsのMobile Device Managementサービスに存在するローカル特権昇格(LPE)のゼロデイ脆弱性CVE-2021-24084を対処するものです。脆弱性はWindows 10 Version 1809以降に影響し、Microsoftはまだ公式にパッチをリリースしていませんが、0patchはシステムが攻撃を受ける可能性を軽減するために、無料で修正プログラムを提供しています。
発見者のAbdelhamid Naceri氏によると、脆弱性を利用することで、管理者ではない人が権限のないデータにアクセスすることが可能であるとのこと。もともと2020年10月に発見されたものですが、Microsoftによる脆弱性の修正は遅れ、現在に至るまでパッチが提供されない状況となっています。
0patchも当初はそれほど重大な脆弱性だとは捉えていなかったそうですが、11月になってAbdelhamid氏から、このバグが単なる情報漏洩の危険性があるだけでなく、ローカルな権限昇格の脆弱性である可能性があると指摘され、修正パッチの提供を行うよう方針転換したそうです。
0patchは、独自のパッチへアクセスのためのサブスクリプションサービスを提供していますが、この問題に対してはマイクロパッチをリリースしており、マイクロソフトが独自の修正プログラムをリリースするまで、誰でも無料で利用することができます。
詳細はこちらで確認可能です。。