ニュース
IEに脆弱性、MSは放置? HPが公開
ZDIは、Microsoftにこの脆弱性を修正する意向がないことが確認されたため、詳しい情報とコンセプト実証コードの公開に踏み切ったとしている。
米Hewlett−Packard(HP)傘下のZero Day Initiative(ZDI)が6月19日に開かれたセキュリティカンファレンス「RECon」で、MicrosoftのInternet Explorer(IE)の未解決の脆弱性に関する詳しい情報とコンセプト実証コードを公開した。
ZDIによると、この脆弱性はZDIの研究者が発見してMicrosoftに報告したもので、2月に概略を公表し、Microsoftから賞金を受け取ったと発表していた。
同社は通常であれば、脆弱性が修正されるまで詳しい情報の公表は手控えている。しかし今回は、Microsoftにこの脆弱性を修正する意向がないことが確認されたため、公開に踏み切ったとしている。
脆弱性を悪用された場合、IEに実装されたセキュリティ対策のASLR(アドレス空間配置のランダム化)をかわされる恐れがあるとZDIは指摘する。しかしMicrosoftは、デフォルト設定のIEはこの問題の影響を受けず、従って大多数のユーザーに影響が及ぶことはないとの見解を示しているという。
Microsoftのこの見解には同意できないとZDIは述べ、ユーザーが自ら対策を講じることができるよう、詳しい情報を公開することにしたと説明している。
関連記事
OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告
研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。
Microsoft、2015年6月のセキュリティ情報を公開
8件のセキュリティ情報のうち、IEの更新プログラムなど2件が「緊急」、残る6件が「重要」レベルとなっている。
Samsung Galaxyに深刻な脆弱性、6億台に影響か
プリインストールされているSwiftKey製のキーボードに脆弱性が存在し、Galaxy S6/S5/S4/S4 Miniの各端末が影響を受けるという。
脆弱性を治す平均日数は? 情報流出を招く実態判明
脆弱性の修正対応に要した期間は、金融機関や教育機関では長期であることが分かった。
「Googleが脆弱性を放置」と、セキュリティ企業が批判
他社に即時対応を要求しながら自社の対応に甘いと、Security Explorationsが指摘する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.