IE8に未修正の脆弱性、Zero Day Initiativeが情報を公開

米HPのZero Day Initiative(ZDI)は21日、Internet Explorer 8(IE8)に未修正の脆弱性が存在するとして、脆弱性情報を公開した。

ZDIによると、脆弱性はCMarkupオブジェクトの処理に起因し、メモリ解放後使用の問題が発生するもの。脆弱性が悪用された場合、特別に細工されたページを閲覧した際に、任意のコードを実行させられる危険がある。

ZDIでは、2013年10月11日にこの情報をMicrosoftに通知したが、ZDIが修正期限としている180日を過ぎても脆弱性が修正されなかったため、情報を公開する旨を5月8日にMicrosoftに通告。今回、脆弱性情報を一般に公開した。

ZDIでは攻撃の回避策として、インターネットオプションでインターネットゾーンのセキュリティレベルを「高」に設定することや、ア クティブスクリプトの実行前にダイアログを表示するか、インターネットおよびローカルイントラネットゾーンでアクティブスクリプトを無効にすること、 Microsoftが配布している脆弱性緩和ツール「EMET」をインストールすることなどを挙げている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140522_649702.html