IEに未解決の脆弱性が複数存在、HPが公表

120日期限が過ぎ、Microsoftがパッチをリリースしなかったとして概略を公表した。

[鈴木聖子，ITmedia]

　米Hewlett−Packard（HP）のゼロデイ脆弱性研究プロジェクト「Zero Day Initiative」（ZDI）が、MicrosoftのInternet Explorer（IE）に存在する未解決の脆弱性4件に関する概要を公表した。

　ZDIのWebサイトに7月20日付で掲載された情報によると、この4件の脆弱性ではいずれも、攻撃者が標的とする相手に不正なページを閲覧させたり不正なファイルを開かせたりするなどの手口を使って、リモートで任意のコードを実行できてしまう恐れがある。

HPが新たに公開したIEの脆弱性情報

　危険度は共通脆弱性評価システム（CVSS）のスコアで6.8〜7.5（最大値は10.0）と評価している。

　4件の脆弱性のうち1件は、2014年11月にZDIが開催したモバイル版のハッキングコンペ「Pwn2Own」で研究者が実証し、Microsoftにも情報が提供されていた。残る3件も2015年1月にMicrosoftに報告されており、ZDIが定める120日の期限を過ぎてもパッチがリリースされなかったことから公表に踏み切ったと説明している。

ハッキングコンペで見つかったモバイル版IEの脆弱性はCVSSが「7.5」で、最も危険度が高い