Google研究者がWebブラウザの脆弱性発見ツールを公開――IEの脆弱性情報も
これまでGoogle社内のみで使っていたツール「cross_fuzz」を公開した研究者が、IEの脆弱性がまだ修正されていないと指摘した。
米Googleのセキュリティ研究者がWebブラウザの脆弱性を探し出すツールを公開し、これを使って見つけたInternet Explorer(IE)の脆弱性がまだ修正されていないと指摘した。米セキュリティ機関のSANS Internet Storm Centerが1月5日に伝えた。
脆弱性を探し出すツール「cross_fuzz」を個人のブログで公開したのは、Googleに勤務するマイケル・ザレウスキ氏。同ツールはこれまでGoogleの社内のみで使っていたもので、ザレウスキ氏らはこれで主要なWebブラウザの脆弱性を発見し、各社に通報していたという。
IEに関しては悪用可能な問題が複数見つかり、2010年7月にMicrosoftに通報したが、現時点でまだ解決されていないとザレウスキ氏は述べている。このうちの1件については外部にも知られていると同氏は主張する。
ザレウスキ氏によると、Microsoftからは12月に連絡があり、cross_fuzzツールの公開延期を求められたという。しかしMicrosoftから納得のいく説明がなかったため、同氏はこの要請を断ったとしている。
フランスのセキュリティ企業VUPENは、ザレウスキ氏が公開した情報をもとに、1月5日付でIEの脆弱性に関するアドバイザリーを公開した。この問題を悪用された場合、リモートの攻撃者が細工を施したWebページを使って任意のコードを実行できてしまう恐れがあるとしている。VUPENはWindows XP SP3とIE 8の組み合わせで脆弱性を確認、Windows 7/Vista、Windows Server 2008 R2なども影響を受けるとしている。
関連記事
- IEに未修正の脆弱性、Microsoftがアドバイザリー公開
- Webブラウザの偽セキュリティアップデートによる、ミスリーディングアプリケーションの投下手口
- インターネット編 Webブラウザの安全な使い方
- 最も安全なブラウザを実行しているのは誰か
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.