Microsoft が IE8の脆弱性を去年から放置していたことが判明

IE8に未修正の脆弱性、Zero Day Initiativeが情報を公開 -INTERNET Watch

ZDIによると、脆弱性はCMarkupオブジェクトの処理に起因し、メモリ解放後使用の問題が発生するもの。脆弱性が悪用された場合、特別に細工されたページを閲覧した際に、任意のコードを実行させられる危険がある。

 ZDIでは、2013年10月11日にこの情報をMicrosoftに通知したが、ZDIが修正期限としている180日を過ぎても脆弱性が修正されなかったため、情報を公開する旨を5月8日にMicrosoftに通告。今回、脆弱性情報を一般に公開した。

CVE-2014-1770
影響を受けるのは Windows XP から Windows 7まで幅広いけど IE8のみ

Microsoft fails to address IE zero day before public disclosure
XP がコンポーネントを含むゼロディの緊急の致命的なセキュリティホールは今回が初めてとなるとのこと、
Pwn2Ownコンテストハッキングコンテストで明らかになったゼロディの脆弱性をMicrosoftは半年以上放置していたことになりますね。こりゃ酷い

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です