Internet Explorer 8(IE8)に未修正の脆弱性があることが1日(米国時間)、Googleのセキュリティエンジニア Michal Zalewski氏によって明らかにされた。US-CERT(米国コンピューター緊急対応チーム)や、フランスのセキュリティ企業VUPENがこの脆弱性の存在を確認したとして情報を公開しており、JVN(Japan Vulnerability Note)でも脆弱性レポートが公開されている。
これらの情報によると、IE8の「mshtml.dll」ライブラリには、解放したメモリへのアクセスが発生してしまう脆弱性が存在する。これを悪用されると、IEがクラッシュしたり、任意のコードを実行されたりするおそれがある。
また、「mshtml.dll」はWebページを表示する機能をもつWindowsアプリケーション多数で使われているため、そうしたアプリケーションに影響が及ぶ可能性もある。
この脆弱性をめぐってUS-CERTでは、IEのユーザーに対し、Enhanced Mitigation Experience Toolkit(EMET)の利用を推奨している。ENETは、Microsoftが無償で提供している、脆弱性の悪用を防ぐためのツールだ。ダウンロード先などの詳細については、「サポート技術情報2458544」に記載されている。
Zalewski氏は、脆弱性検出ツール「cross_fuzz」を使ってこの脆弱性を見つけたとし、自身のブログでこのツールを公開している。同氏が複数のブラウザをこのツールにかけたところ、クラッシュを引き起こす問題が大量に見つかったという。クラッシュを引き起こすような問題は、程度の差はあるものの、コード実行につながる可能性がある。同ツールが公開されたことにより、どのブラウザの脆弱性がいつ攻略されてもおかしくないという、厄介な状況になってしまったと言える。
Zalewski氏は、「cross_fuzz」で見つけた脆弱性を各社に通知してきたといい、IEの複数の脆弱性についても昨年7月にマイクロソフトに通報したという。しかし、同氏が12月に連絡をとるまでマイクロソフトからの返答はなく、早期に調査が行われなかったことについて納得のいく説明もなかったとしている。
(2011/01/11 ネットセキュリティニュース)
【関連URL】
・Announcing cross_fuzz, a potential 0-day in circulation, and more[英文](lcamtuf's blog)
http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-potential-0-day-in.html
・Vulnerability Note VU#427980[英文](US-CERT)
http://www.kb.cert.org/vuls/id/427980
・Microsoft Internet Explorer Circular Memory References Use-after-free[英文](VUPEN)
http://www.vupen.com/english/advisories/2011/0026
・Microsoft Internet Explorer 8 における解放済みメモリを使用する脆弱性(JVN)
http://jvn.jp/cert/JVNVU427980/
<EMET関連情報>
・サポート技術情報2458544:Enhanced Mitigation Experience Toolkit(マイクロソフト)
http://support.microsoft.com/kb/2458544