ふむぅ・・・・・IE8にZero-Dayな脆弱性が発見されて、IE6-8に影響ありとのこと。

あるAnonymous Cowardのタレコミによると、Internet Explorer 8に新たなゼロデイ脆弱性が発見されたという（FireEye）。 Microsoftのセキュリティアドバイザリによると、対象となるのはIE6〜8で、9以降ではこの脆弱性の影響はないという。問題の脆弱性は、IEが削除されたメモリ、もしくは適切に確保されていないメモリに格納されたオブジェクトにアクセスしてしまうことで、任意のリモートコードを実行してしまうというもの。US-CERT Vulnerability Note VU#154201によると、特別に細工されたJavaScriptを実行させることで、不正なメモリアドレスに格納された命令を実行させることが可能になるとのこと。

IE6〜8にゼロデイ脆弱性、攻撃コードも発見される | スラド

辻さんの所のチームが検証をしてくれています。

Microsoft Internet Explorerに、リモートより任意のコードが実行される脆弱性が発見されました。 本脆弱性は、mshtml CDwnBindInfoオブジェクトが解放済みメモリを使用するために発生します。 特別に細工されたJavaScriptを含むページをInternet Explorerが処理する際に、CDwnBindInfoオブジェクトを含むCDocオブジェクトを作成します。これにより、このオブジェクトはポインタを削除せずに解放され、IEは不正なメモリアドレスを呼び出すよう強制されます。 本レポート作成（2013年1月9日）時点においてMicrosoft社から脆弱性への対策、回避策などのアナウンスが公開されております。しかし、本脆弱性を修正するバージョンはリリースされておらず、システムへの影響が大きいことから、脆弱性の再現性について検証を行いました。

http://security.intellilink.co.jp/article/vulner/130109.html

2013年01月の定例パッチに入らなかったので、定例外が出るかも？！って話。

We now know it isn't part of January's Security Updates. This raises the possibility of an out-of-cycle patch. But then, we have yet to see more than limited exploitation. (We are currently investigating reports of targeted attacks.)

News from the Lab Archive : January 2004 to September 2015

記事になったｗ

先月末に公表された「Internet Explorer（IE）」の未修正の脆弱性について、セキュリティ研究者たちは米国Microsoftが近日中に緊急のパッチ・リリースを行うのではないかと予測している。 　Microsoftでは12月29日、IE 6〜8に未修正の脆弱性が存在することを公表した。米国Symantecなど複数のセキュリティ・ベンダーは、すでにこの脆弱性がサイバー攻撃に悪用され始めていることを報告している。なお、この脆弱性はIE 9/10には存在しない。 　Microsoftでは毎月第2火曜日（日本時間ではその翌日）に月例セキュリティ・アップデートを公開しているが、1月9日のセキュリティ・アップデートではこの脆弱性に対応する修正パッチは公開されなかった。

http://www.computerworld.jp/topics/563/206089

関連URL

• Microsoft "Fix it" available for Internet Explorer 6, 7, and 8 - Security Research & Defense - Site Home - TechNet Blogs
• 「Internet Explorer」に任意のコードが実行される | RBB TODAY
• ニュース - IEに危険な脆弱性が発覚、悪用した「ゼロデイ攻撃」が出現：ITpro
• ニュース - IEに危険な脆弱性が発覚、悪用した「ゼロデイ攻撃」が出現：ITpro
• Internet Explorerに脆弱性、第三者にコードを遠隔実行される可能性 - JPCERT/CCが注意喚起 | パソコン | マイナビニュース
• IEのメモリ利用不備により任意のコードが実行される | RBB TODAY