HPのZero Day Initiative(ZDI)チームは昨年、Microsoft Mitigation Bypass Bounty and Blue Hat Bonus for DefenseプログラムにInternet Explorerの脆弱性2件を報告して125,000ドルの賞金を獲得した。しかし、脆弱性の修正予定はないとの連絡をMicrosoftから受けたため、REconで詳細を公開したそうだ（HP Security Research Blog、ホワイトペーパーPDF、PoC、The Register）。

脆弱性が発見されたのは、Use After Free（UAF）脆弱性の緩和策として昨年6月の更新（MS14-035）で導入されたIsolated Heapと、昨年7月の更新（MS14-037）で導入されたMemoryProtection（MemProtect）。これらの機能の脆弱性を利用して攻撃する手順と、MemProtectを利用してASLRを完全に迂回する手順に対して賞金100,000ドル、これらの攻撃に対抗する手順に対して賞金25,000ドルが授与されている。

HPでは脆弱性の報告から120日が経過したとして、賞金を獲得したことを2月に公表している。この時点では脆弱性の詳細を明らかにしていなかったが、その後Microsoftから脆弱性の修正予定はないとの連絡を受けたとのこと。Microsoft側はデフォルト構成のIEでは影響を受けないとの見解を示しているが、この見解に同意できないため公表に踏み切ったとのことだ。