IE8に新たな脆弱性、米国で「ゼロデイ攻撃」が出現

2013/5/8付
保存
共有
印刷
その他

米マイクロソフトは現地時間2013年5月3日、Webブラウザー「Internet Explorer 8(IE8)」に、新たな脆弱性が見つかったことを明らかにした。この脆弱性を悪用した攻撃が確認されているが、セキュリティー更新プログラム(パッチ)は未公開である。なお、IE6/7/9/10は影響を受けない。

米マイクロソフトの情報

今回明らかにされたのは、IE8のデータ処理に関する脆弱性である。細工が施されたWebサイトにアクセスするだけで、ウイルス(悪質なプログラム)を実行させられる恐れなどがある。

同社によると、既に今回の脆弱性を悪用した攻撃が確認されている。パッチが公開される前の攻撃なので、いわゆる「ゼロデイ攻撃」に相当する。セキュリティー企業の英ソフォスなどによると、米労働省のWebサイトが改ざんされ、今回の脆弱性を悪用するようなわなが仕掛けられたとする。

マイクロソフトが推奨する回避策の一つは、IE9やIE10へのバージョンアップである。これらのバージョンには、今回の脆弱性は存在しない。

そのほか、IEのセキュリティー設定を変更することも回避策として挙げている。具体的には、インターネットおよび「ローカルイントラネットセキュリティゾーン」の設定を「高」に設定し、これらのゾーンでActiveX コントロールおよびアクティブスクリプトをブロックする。

これらの実施手順は、同社が公開する情報に記載されている。ただし、この回避策を実施すると、Webページなどを適切に表示できない場合がある。

同社が無料で提供している「Enhanced Mitigation Experience Toolkit(EMET)」の利用も回避策になる。このツールを利用すれば、脆弱性を悪用された場合でも、悪質なプログラムの実行などを防げる。EMETの利用方法についても、同社が公開する情報に記載されている。

(日経パソコン 勝村幸博)

[PC Online 2013年5月7日掲載]

保存
共有
印刷
その他

電子版トップ



[PR]