Internet ExplorerとEdgeに未修正の脆弱性があると，Googleのセキュリティ調査チーム「Project Zero」が発表したとニュースになっています。ITMediaのニュースを見たのですが，GoogleのProject Zeroのブログを見ても，それっぽい記事は出てなかったです。探し方が悪いのかもしれませんが。

この脆弱性を悪用すると，ユーザがWebサイトのページを開いただけで，マルウェアの実行が可能になるそうです。そうなると，フィッシングサイトにユーザを誘導してIDとパスワードを入力させるような，手間のかかることをやらずに，フィッシングサイトにユーザを誘導してマルウェアを仕込むだけで攻撃完了になってしまいます。ユーザの情報はマルウェアが取得して攻撃用のサーバに送ればいいので。

今のところ，IEでもEdgeでもこの脆弱性を悪用できるかどうかは明らかになっていません。Edgeは安全なブラウザだと宣伝されていただけに，少し心配です。

Microsoftは頑張ってバグ修正しているのでしょう。セキュリティアップデートが早く提供されますように。

GoogleのProject Zeroでは，脆弱性を発見して90日が経過すると，詳細を公開するポリシーで運用されています。製品元のMicrosoftとも連携をしているのでしょうけど，Microsoft側の修正が間に合わなかったのでしょうかね。

対処方法がないのに公表するポリシーについて批判もあるかもしれませんが，製品開発元に脆弱性の連絡をして，一定期間の猶予が過ぎたならば，私は公開していいと思っています。それは，公開しないことによって，圧倒的に大多数の利用者がその脆弱性にさらされてしまうからです。脆弱性を知っている一部の人が悪用しないとも限りませんし，製品開発元が脆弱性を放置してしまう可能性もありますから。

利用者としては，脆弱性対策パッチを早く提供してもらいたいです。