Japan Vulnerability Notes

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は5月22日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#97953185: Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性」においてIE8にセキュリティ脆弱性が存在することを伝えた。このセキュリティ脆弱性を利用されると細工されたHTMLを閲覧することで任意のコードが実行される危険性がある。この問題を修正するパッチの提供は開始されていない。IE8を使用している場合にはIE11へアップグレードする、EMETを適用する、セキュリティレベルの設定を変更するなどの軽減処置を取ることが推奨されている。

IE8にこうしたセキュリティ脆弱性が存在することは昨年の段階で研究者によって発見されており、2013年10月の段階でZero Day InitiativeからMicrosoftへ報告が行われていた。しかしMicrosoftは6ヶ月に渡っても本セキュリティ脆弱性に対する修正を実施しなかったことから、Zero Day Initiativeからこの問題が公表された。こうしたやり取りがthreadpostの記事「Microsoft Working on Patch for IE 8 Zero Day|Threatpost|The first stop for security news」に詳しく説明されている。

Microsoftではこのセキュリティ脆弱性を修正するためにさまざまな設定や条件で検証をする必要があるとし、こうした検証がすべて済んだ段階でセキュリティアップデートを提供すると説明している。また同社はWindows 7やWindows 8.1といったよりモダンなバージョンへアップグレードすること、最新のIEへ移行することなどを推奨している。IE8はIEシリーズの中でももっともユーザが多いバージョンであり注意が必要。