ニュース

IE8に未修正の脆弱性、Zero Day Initiativeが情報を公開

 米HPのZero Day Initiative(ZDI)は21日、Internet Explorer 8(IE8)に未修正の脆弱性が存在するとして、脆弱性情報を公開した。

 ZDIによると、脆弱性はCMarkupオブジェクトの処理に起因し、メモリ解放後使用の問題が発生するもの。脆弱性が悪用された場合、特別に細工されたページを閲覧した際に、任意のコードを実行させられる危険がある。

 ZDIでは、2013年10月11日にこの情報をMicrosoftに通知したが、ZDIが修正期限としている180日を過ぎても脆弱性が修正されなかったため、情報を公開する旨を5月8日にMicrosoftに通告。今回、脆弱性情報を一般に公開した。

 ZDIでは攻撃の回避策として、インターネットオプションでインターネットゾーンのセキュリティレベルを「高」に設定することや、アクティブスクリプトの実行前にダイアログを表示するか、インターネットおよびローカルイントラネットゾーンでアクティブスクリプトを無効にすること、Microsoftが配布している脆弱性緩和ツール「EMET」をインストールすることなどを挙げている。

(三柳 英樹)