ZDIが公開したアドバイザリZDI-14-140に記載されている IEの脆弱性 CVE-2014-1770についてここではまとめます。
概要
Corelan Teamが発見したIEの脆弱性情報についてZDIが提供を受け、MicrosoftとZDIが調整していましたが、ZDIの定めるルール180日間*1を過ぎたため、MSへ事前通知を行った上で、2014年5月22日(日本時間)にZDIがセキュリティアドバイザリを公開しました。
アドバイザリではIE8のCMarkupにuse-after-freeの脆弱性が存在することが言及されています。2014年5月22日時点でMicrosoftから修正版の提供やセキュリティアドバイザリの公開は行われておりません。なお、Microsoftは既にテストに取り組んでいるとの情報もあります。*2
- ZDI アドバイザリ
- CVE-2014-1770のポイント
- ZDIから公開された情報は脆弱性に関するアドバイザリであり、Exploitではない。
- 攻撃が確認されている脆弱性ではない。
- 公開情報だけから攻撃を行うことは難しいが、TippingPointは対応済みでありリバースエンジニアリングをすることで攻撃の糸口をつかまれる可能性はある。
影響を受ける製品
- Internet Explorer 8
- IE8はWindows XP、Vista、7が対応しています。(Server版は2003、2008、2008R2)
- OSについての言及はZDIのアドバイザリでは言及なし。
脆弱性識別番号
- ZDI-14-140
- CVE-2014-1770
- JVNDB-2014-002574
タイムライン
日時 | 出来事 |
---|---|
2013年10月11日※ | ZDIからMicrosoftへ脆弱性情報を連絡 |
2014年2月10日※ | Microsoftから再現性について確認の連絡 |
2014年4月9日※ | ZDIルールの180日を経過 |
2014年5月8日※ | ZDIからMicrosoftへ脆弱性情報公開の事前通知 |
2014年5月21日※ | ZDIがZDI-140として脆弱性情報を公開 |
※ ZDI公開時間による
関連情報
更新履歴
- 2014/05/22 PM 新規作成
*1:今は120日間だそうです。http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Picking-up-the-pace-A-new-120-day-disclosure-window/ba-p/6392573
*2:MICROSOFT WORKING ON PATCH FOR IE 8 ZERO DAY,ThreatPost,2014/05/23アクセス