IEに脆弱性、MSは放置? HPが公開
ZDIは、Microsoftにこの脆弱性を修正する意向がないことが確認されたため、詳しい情報とコンセプト実証コードの公開に踏み切ったとしている。
» 2015年06月23日 07時59分 公開
[鈴木聖子,ITmedia]
米Hewlett−Packard(HP)傘下のZero Day Initiative(ZDI)が6月19日に開かれたセキュリティカンファレンス「RECon」で、MicrosoftのInternet Explorer(IE)の未解決の脆弱性に関する詳しい情報とコンセプト実証コードを公開した。
ZDIによると、この脆弱性はZDIの研究者が発見してMicrosoftに報告したもので、2月に概略を公表し、Microsoftから賞金を受け取ったと発表していた。
同社は通常であれば、脆弱性が修正されるまで詳しい情報の公表は手控えている。しかし今回は、Microsoftにこの脆弱性を修正する意向がないことが確認されたため、公開に踏み切ったとしている。
脆弱性を悪用された場合、IEに実装されたセキュリティ対策のASLR(アドレス空間配置のランダム化)をかわされる恐れがあるとZDIは指摘する。しかしMicrosoftは、デフォルト設定のIEはこの問題の影響を受けず、従って大多数のユーザーに影響が及ぶことはないとの見解を示しているという。
Microsoftのこの見解には同意できないとZDIは述べ、ユーザーが自ら対策を講じることができるよう、詳しい情報を公開することにしたと説明している。
関連記事
OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告
研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。
Microsoft、2015年6月のセキュリティ情報を公開
8件のセキュリティ情報のうち、IEの更新プログラムなど2件が「緊急」、残る6件が「重要」レベルとなっている。
Samsung Galaxyに深刻な脆弱性、6億台に影響か
プリインストールされているSwiftKey製のキーボードに脆弱性が存在し、Galaxy S6/S5/S4/S4 Miniの各端末が影響を受けるという。
脆弱性を治す平均日数は? 情報流出を招く実態判明
脆弱性の修正対応に要した期間は、金融機関や教育機関では長期であることが分かった。
「Googleが脆弱性を放置」と、セキュリティ企業が批判
他社に即時対応を要求しながら自社の対応に甘いと、Security Explorationsが指摘する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。