Google研究者がWebブラウザの脆弱性発見ツールを公開――IEの脆弱性情報も
これまでGoogle社内のみで使っていたツール「cross_fuzz」を公開した研究者が、IEの脆弱性がまだ修正されていないと指摘した。
米Googleのセキュリティ研究者がWebブラウザの脆弱性を探し出すツールを公開し、これを使って見つけたInternet Explorer(IE)の脆弱性がまだ修正されていないと指摘した。米セキュリティ機関のSANS Internet Storm Centerが1月5日に伝えた。
脆弱性を探し出すツール「cross_fuzz」を個人のブログで公開したのは、Googleに勤務するマイケル・ザレウスキ氏。同ツールはこれまでGoogleの社内のみで使っていたもので、ザレウスキ氏らはこれで主要なWebブラウザの脆弱性を発見し、各社に通報していたという。
IEに関しては悪用可能な問題が複数見つかり、2010年7月にMicrosoftに通報したが、現時点でまだ解決されていないとザレウスキ氏は述べている。このうちの1件については外部にも知られていると同氏は主張する。
ザレウスキ氏によると、Microsoftからは12月に連絡があり、cross_fuzzツールの公開延期を求められたという。しかしMicrosoftから納得のいく説明がなかったため、同氏はこの要請を断ったとしている。
フランスのセキュリティ企業VUPENは、ザレウスキ氏が公開した情報をもとに、1月5日付でIEの脆弱性に関するアドバイザリーを公開した。この問題を悪用された場合、リモートの攻撃者が細工を施したWebページを使って任意のコードを実行できてしまう恐れがあるとしている。VUPENはWindows XP SP3とIE 8の組み合わせで脆弱性を確認、Windows 7/Vista、Windows Server 2008 R2なども影響を受けるとしている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
- IEに未修正の脆弱性、Microsoftがアドバイザリー公開
- Webブラウザの偽セキュリティアップデートによる、ミスリーディングアプリケーションの投下手口
- インターネット編 Webブラウザの安全な使い方
- 最も安全なブラウザを実行しているのは誰か
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ゼロトラストの最新トレンド5つをガートナーが発表
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
ITmediaはアイティメディア株式会社の登録商標です。