ZDIは、Microsoftにこの脆弱性を修正する意向がないことが確認されたため、詳しい情報とコンセプト実証コードの公開に踏み切ったとしている。
米Hewlett−Packard(HP)傘下のZero Day Initiative(ZDI)が6月19日に開かれたセキュリティカンファレンス「RECon」で、MicrosoftのInternet Explorer(IE)の未解決の脆弱性に関する詳しい情報とコンセプト実証コードを公開した。
ZDIによると、この脆弱性はZDIの研究者が発見してMicrosoftに報告したもので、2月に概略を公表し、Microsoftから賞金を受け取ったと発表していた。
同社は通常であれば、脆弱性が修正されるまで詳しい情報の公表は手控えている。しかし今回は、Microsoftにこの脆弱性を修正する意向がないことが確認されたため、公開に踏み切ったとしている。
脆弱性を悪用された場合、IEに実装されたセキュリティ対策のASLR(アドレス空間配置のランダム化)をかわされる恐れがあるとZDIは指摘する。しかしMicrosoftは、デフォルト設定のIEはこの問題の影響を受けず、従って大多数のユーザーに影響が及ぶことはないとの見解を示しているという。
Microsoftのこの見解には同意できないとZDIは述べ、ユーザーが自ら対策を講じることができるよう、詳しい情報を公開することにしたと説明している。
Copyright © ITmedia, Inc. All Rights Reserved.