13/05/07 22:33:57.05
URLリンク(www.itmedia.co.jp)
米MicrosoftのInternet Explorer(IE)8に新たな未解決の脆弱性が見つかった。この脆弱性を突いたゼロデイ攻撃
の発生も報告され、Microsoftがセキュリティアドバイザリーを公開して注意を呼び掛けている。
Microsoftが5月3日付で公開したアドバイザリーによると、メモリ内の削除されたオブジェクト、あるいは適切に割り
当てられていないオブジェクトへIEがアクセスする方法に脆弱性が存在する。この問題を突いた悪質なWebサイトを
IE 8で閲覧すると、リモートでコードを実行される恐れがある。
なお、IE 6、7、9、10はこの脆弱性の影響を受けないという。
Microsoftは、この脆弱性の悪用を試みる攻撃の発生を確認したとしており、現在、脆弱性を修正するための更新
プログラムの開発を進めている。当面の対策として、インターネットとローカルイントラネットのセキュリティゾーンを
「高」に設定し、ActiveXコントロールとActive Scriptingをブロックするなどの方法を紹介。また、脆弱性の影響を受
けないIE 9または10へのアップグレードも奨励している。
一方、セキュリティ企業のFireEyeは3日のブログで、米労働省のWebサイトに不正コードが仕掛けられた攻撃に、
今回のIE 8の脆弱性が使われていたことを確認したと報告した。
この脆弱性を悪用するコードはWindows XPのほか、Windows 7上のIE 8でも通用するといい、Windows 7上のIE 8
を標的とした攻撃は、ほかにも起きているはずだとFireEyeは警告している。