Internet Explorer に新たなゼロデイ脆弱性 ― ZDI が公表に踏み切った理由とは?

インターネットコム / 2014年5月23日 15時0分

写真

Internet Explorer に新たなゼロデイ脆弱性 ― ZDI が公表に踏み切った理由とは?

米国 Microsoft の Internet Explorer Web ブラウザで新たなゼロデイ脆弱性が公表され、数百万人がリスクにさらされていることが明らかになった。

通常、ゼロデイ脆弱性は、その脆弱性を突いた攻撃が確認されたとき、セキュリティリサーチャーによって公表される。だが今回の脆弱性は、Hewlett-Packard(HP)によって公表された。HP は Microsoft に対し、このゼロデイ脆弱性を180日前に報告したが、Microsoft は未だ何の対応も取っていないという。

問題となっている脆弱性は、「CVE-2014-1770」。HP は脆弱性について次のように説明している。

「この脆弱性により、リモートアタッカーは Microsoft Internet Explorer で任意のコードを実行可能になる。脆弱性が悪用されるには、利用者が悪意のあるサイトを訪れたり、不正なファイルを開く必要がある」

HP の Zero Day Initiative(ZDI)でマネージャを務める Brian Gorenc 氏は eWeek に対し、この脆弱性は Windows XP と Windows 7 上で動作する Internet Explorer 8 に影響を与えると述べた。

だが ZDI はなぜ、脆弱性の公表に踏み切ったのだろうか? 脆弱性の存在が公表されれば、アタッカーはそれを突いた攻撃を仕掛けることが可能になり、利用者のリスクはより高まる。

私は Gorenc 氏に対し、Microsoft がパッチを適用する前に脆弱性について公表した理由について尋ねた。Gorenc 氏によれば、公開は ZDI の公開ポリシーに基づいたものだという。

「『CVE-2014-1770』は、HP ZDI の公開ポリシー違反によりゼロデイアドバイザリとして公開された初めての IE 脆弱性だ」

以前の HP ZDI 公開ポリシーでは、ZDI がベンダーに脆弱性を報告後、ベンダーがパッチをリリースするまで、180日の猶予期間を設定していた。180日が経過した後、HP はベンダーに対し一般に公表すると警告。その後、公表に踏み切る。

だが3月1日、HP はこの公開ポリシーを変更。猶予期間を120日に短縮した。

Microsoft は、「CVE-2014-1770」脆弱性の存在を否定していたわけではない。だが、重要視もしていない。Microsoft は eWeek に対し、次のように説明した。

  • 前のページ
    • 1
    • 2
  • 次のページ
インターネットコム

この記事に関連するニュース

トピックスRSS

ランキング