翻訳者から
最近のIE9エラー投稿では、0日間の脆弱性について言及されています。 私はこの情報に興味があり、いくつかの詳細を見つけようとしました。 結果は次のように翻訳されました。 特定の脆弱性の説明への正確なリンクを提供することは難しいと思います;より詳細な情報を受け取りたい人は、Vupenウェブサイトでそれを見つけることができます。
新しいIE9エクスプロイト
フランスの会社Vupenによると、新しいIE9エクスプロイトは、情報セキュリティを専門とするWindows 7の最新バージョンでさえ、すべてのセキュリティ機能をバイパスします。
このエクスプロイトは、 IE9の非公開( 0日 )の脆弱性を使用し、すべての特別なWindows 7セキュリティ機能をバイパスします最初のサービスパックとすべての更新プログラムがインストールされたMicrosoftオペレーティングシステムの最新バージョンは脆弱です。 この脆弱性はフランス企業のVupenによって発見され、昨年12月にIE8にも脆弱性が発見されました。
Vupenは、Windows 7を実行しているコンピューターでサイバー攻撃を起動し、任意の悪意のあるコードを実行するのに使用するのに十分なほどこの脆弱性を深刻であると判断します。
「悪用には2つの異なる脆弱性が使用されます。 最初の方法では、IE9サンドボックスで任意のコードを実行できます。 2番目の方法では、完全なコード実行を可能にするためにサンドボックスをバイパスできます」とVaupen CEOのChaouki Bekra氏は、デンマークのWebwereldのインタビューで述べています。
ただし、このエクスプロイトのリスクは限定的です。エクスプロイトコードはパブリックドメインで見つかりませんでした。 脆弱性はVupenの研究者によって発見され、彼ら自身がエクスプロイト自体を準備しました。 「脆弱性を悪用してエクスプロイトを作成できることを確認し、Windows 7およびWindows 7 SP1のIE9で任意のコードを実行できるエクスプロイトを作成しました」とBeckra氏は言います。
また、脆弱性は公開されていなかったと述べました:「コードへのアクセスと詳細な脆弱性分析の結果は、インフラストラクチャを保護するためにこの情報を使用する政府の顧客に限定されます。」
現時点では、IE9は政府や企業のいずれでも大規模には使用されていません。 ただし、この脆弱性はMicrosoftのブラウザーの最新バージョンに限定されません。 IE8、7、6にもセキュリティホールがあり、Vupenは既製のエクスプロイトをまだ作成していません。
このエラーはInternet Explorerバージョン9、8、7、および6に関するもので、HTMLとJavaScriptの特定の組み合わせを処理する際にmshtml.dllライブラリの「メモリを解放してからメモリを使用する」ロジックが原因です。 Vupenは、すべてのIEユーザーがJavaScriptをオフにするか、この脆弱性の影響を受けない別のブラウザーを使用することを推奨します。
Vupenのエクスプロイトコードは、Windows 7およびVistaで動作するIE9でのみ有効です。 IE9は比較的最近リリースされ、Windows Updateを通じてまだ配布されていません。 マイクロソフトは、今後数週間のうちに更新プログラムに含める予定です。 ブラウザの広範囲な配布の正確な日付はまだわかっていません。
NetApplications統計に基づいて、Windows 7ユーザーの3.6%が現在IE9を使用しています。 Windows 7のみで市場の約25%を占めています。 Windows XPのユーザーベースは依然として広くなっています。
同じデータによると、すべてのPCユーザーの間で、IE9は約1.04%を使用しています。 競合する統計サービスであるStatCounerは、IE9を市場分布のレビューで別のブラウザとして識別せず、「その他」として分類しています。