MicrosoftのWindows 10などに影響する未解決の脆弱性が見つかった問題で、米セキュリティ機関CERT/CCは2月3日、脆弱性情報を改訂して危険度評価を引き下げた。Microsoftは2月の月例セキュリティ更新プログラムでこの問題に対処する見通しだ。


脆弱性はSMBトラフィックを処理する際のメモリ破損問題に起因する。悪用された場合、サービス妨害(DoS)状態を誘発される恐れがある。コンセプト実証コードもGithubで公開され、Windowsがクラッシュする現象が確認されていた。

CERT/CCは2月2日にセキュリティ情報を公開した時点で、Windowsカーネル権限で任意のコードを実行できる可能性も指摘していたが、3日の改訂ではこの部分が削除された。危険度評価は当初、共通脆弱性評価システム(CVSS)で最大値の10.0としていたが、改訂後は7.8に引き下げている。

Kasperskyのセキュリティニュースサイト「threatpost」によると、Microsoftはこの脆弱性の深刻度は低いと判断しているといい、「低リスクの問題については、月例アップデートで対処している」とコメントした。