Microsoft、発見者に125,000ドルの賞金を支払ったバグを修正せず

headless 曰く、　HPのZero Day Initiative(ZDI)チームは昨年、Microsoft Mitigation Bypass Bounty and Blue Hat Bonus for DefenseプログラムにInternet Explorerの脆弱性2件を報告して125,000ドルの賞金を獲得した。しかし、脆弱性の修正予定はないとの連絡をMicrosoftから受けたため、REconで詳細を公開したそうだ（HP Security Research Blog、ホワイトペーパーPDF、PoC、The Register）。

　脆弱性が発見されたのは、Use After Free（UAF）脆弱性の緩和策として昨年6月の更新（MS14-035）で導入されたIsolated Heapと、昨年7月の更新（MS14-037）で導入されたMemoryProtection（MemProtect）。これらの機能の脆弱性を利用して攻撃する手順と、MemProtectを利用してASLRを完全に迂回する手順に対して賞金100,000ドル、これらの攻撃に対抗する手順に対して賞金25,000ドルが授与されている。

　HPでは脆弱性の報告から120日が経過したとして、賞金を獲得したことを2月に公表している。この時点では脆弱性の詳細を明らかにしていなかったが、その後Microsoftから脆弱性の修正予定はないとの連絡を受けたとのこと。Microsoft側はデフォルト構成のIEでは影響を受けないとの見解を示しているが、この見解に同意できないため公表に踏み切ったとのことだ。

　スラドのコメントを読む | セキュリティセクション | インターネットエクスプローラ | セキュリティ | マイクロソフト | HP | バグ | IT | お金

　関連ストーリー：
Pwn2Own 2015終了、主要ウェブブラウザやプラグインが突破される 2015年03月24日
サイボウズ、脆弱性報奨金制度の成果を公表 2014年07月16日
mixiが運営するサイトで重大な脆弱性が発見されるも「既知の脆弱性である」として賞金は無しに 2014年04月17日
Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供 2013年10月13日
MS、IE11の脆弱性発見者に対し総額2万8,000ドルの賞金を出す 2013年10月10日