IE脆弱性の“非公式パッチ”リリース

ゼロデイに立ち向かうZERTという組織が、IEのVMLの脆弱性に暫定的に対処するパッチをリリースした。

[ITmedia]

　ゼロデイ攻撃と戦うチームが、Internet Explorer（IE）の脆弱性を修正する“非公式”パッチをリリースした。

　このZeroday Emergency Response Team（ZERT）は、リバースエンジニアリングの経験を持つ技術者などでつくる団体。ISC（Internet Software Consortium）創設者のポール・ビシー氏などが参加している。同団体は、ベンダーが脆弱性のパッチをリリースするまでの間、ゼロデイ攻撃に対処する暫定的な解決策を提供することを目指しているという。

　同団体は9月22日に、IEのVMLの脆弱性に対処するパッチをリリースした。この脆弱性は、悪用するとユーザーのシステム上でサービス拒否攻撃や任意のコマンドを実行できてしまう恐れがあるというもので、セキュリティ機関FrSIRTは危険度を4段階中で最も高い「Critical」としている。

　この問題を修正する公式パッチはリリースされておらず、これを悪用したサイトも既に登場している（9月20日の記事参照）。

　ZERTのパッチはこの脆弱性に対処するが、同団体は、広範なテストは行ったものの、あくまでもベンダーのサポートがない非公式のパッチであり、適用は自己責任で行うようにとしている。