IE8に新たな脆弱性、脆弱性発見ツール公開の研究者が指摘

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）と独立行政法人情報処理推進機構（IPA）は7日、Internet Explorer 8（IE8）に解放済みメモリーを使用する脆弱性が存在するとして、「JVN（Japan Vulnerability Note）」で情報を公開した。

　この脆弱性は、IE8の「mshtml.dll」ライブラリに存在するもので、脆弱性が悪用された場合、ブラウザーがクラッシュしたり、ユーザーの権限で任意のコードを実行させられる可能性がある。

　7日時点で、この脆弱性に対する修正パッチなどは提供されていないが、脆弱性の影響を軽減する方法としては、マイクロソフトが提供しているEnhanced Mitigation Experience Toolkit（EMET）を利用することが挙げられている。

　米US-CERTによると、この脆弱性はセキュリティ研究者のMichal Zalewski氏が発見したもの。Zalewski氏は、ブラウザーの脆弱性を発見するためのツール「cross_fuzz」を1月1日付けで自身のサイトで公開しているが、これまでにこのツールにより発見した多数のブラウザーの脆弱性を各ベンダーに通知してきたという。Microsoftに対しても2010年7月に脆弱性情報を通知したが、現時点でも悪用可能な脆弱性が存在しており、1件の脆弱性については第三者にも知られていると思われるとしている。