パスワードを忘れた? アカウント作成
12207922 submission
バグ

Microsoft、発見者に125,000ドルの賞金を支払ったバグを修正せず

タレコミ by headless
headless 曰く、
HPのZero Day Initiative(ZDI)チームは昨年、Microsoft Mitigation Bypass Bounty and Blue Hat Bonus for DefenseプログラムにInternet Explorerの脆弱性2件を報告して125,000ドルの賞金を獲得した。しかし、脆弱性の修正予定はないとの連絡をMicrosoftから受けたため、REconで詳細を公開したそうだ(HP Security Research Blogの記事ホワイトペーパー: PDFPoCThe Registerの記事)。

脆弱性が発見されたのは、Use After Free(UAF)脆弱性の緩和策として昨年6月の更新(MS14-035)で導入されたIsolated Heapと、昨年7月の更新(MS14-037)で導入されたMemoryProtection(MemProtect)。これらの機能の脆弱性を利用して攻撃する手順と、MemProtectを利用してASLRを完全に迂回する手順に対して賞金100,000ドル、これらの攻撃に対抗する手順に対して賞金25,000ドルが授与されている。

HPでは脆弱性の報告から120日が経過したとして、賞金を獲得したことを2月に公表している。この時点では脆弱性の詳細を明らかにしていなかったが、その後Microsoftから脆弱性の修正予定はないとの連絡を受けたとのこと。Microsoft側はデフォルト構成のIEでは影響を受けないとの見解を示しているが、この見解に同意できないため公表に踏み切ったとのことだ。
この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...