この脆弱性は、Visual Basic Script(VBScript)が使用されていたIE 3.0のリリースで1996年にWindowsアプリケーションコードに現れました。 この脆弱性に基づく攻撃は「データ操作」のクラスに属します。つまり、「バッファオーバーフロー」やその他の古典的なハッキング手法よりもまれで危険な手法です。 この脆弱性は、SafeArrayアレイのサイズ変更手順の誤った実行に関連しています。これにより、指定されたアレイ内だけでなく、アドレス指定を静かにノックダウンして、任意のアドレスのデータにアクセスできます。
ハッカーは、より複雑な攻撃にもこの機能を使用できます。たとえば、制御システムをバイパスして、任意のパラメーターで安全でないスクリプトを実行します。 これはまさに、今年のBlack Hat USA会議で、中国のセキュリティ専門家Yang YuがVital Point Strikeというタイトルの講演で示したテクニックです。
IBM X-Forceの専門家については、今年5月に初めてこの脆弱性を発見しました。 過去数か月にわたって、彼らはこの分野でのこの脆弱性の悪用の事例をまだ観察していません。 ただし、この研究の著者は、この脆弱性はまだ解決されていないことを強調しており、現在ではセキュリティの専門家だけでなく、攻撃者も積極的に研究しています。
UPD:メディアは 、MicrosoftがCVE-2014-6332脆弱性を含むいくつかの重大なセキュリティエラーを修正するパッチをリリースしたと報告しました。