Microsof は IE のゼロデイ脆弱性を 2 か月近く前から知っていたのか
2012年9月26日 11:20
headless 曰く、
Microsoft は先日発見された Internet Explorer 6〜9 のゼロデイ脆弱性に対して数日でパッチを公開したが、実は 2 か月近く前から脆弱性を知っていたのではないかという疑惑が持ち上がっている (TechWeekEuropeUK の記事、Eric Romang 氏のブログ記事、本家 /. 記事より) 。
このゼロデイ脆弱性を公表したのはセキュリティ研究家の Eric Romang 氏だが、Microsoft のセキュリティ情報に Romang 氏の名前はなく、TippingPoint (HP 傘下) の Zero Day Initiative (ZDI) に協力する匿名のリサーチャーが報告者として挙げられている。つまり、Romang 氏よりも先に ZDI が Microsoft に報告していたことになる。ZDI のリストによれば、最後に Microsoft に脆弱性を報告したのは 7 月 24 日となっており、攻撃者が HP の Digital Vaccine を解析して脆弱性を発見した可能性も指摘されている。また、IE10 が脆弱性の対象から除外されていたのは、すでにパッチ済みだったためとの指摘もあるとのことだ。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネットエクスプローラ | バグ