2014年5月23日金曜日

IE8の未解決な脆弱性

株式会社Pro-SPIREソリューション事業部の鳶田です。

本日の小話は、IE8(Internet Expolorer 8)の未解決な脆弱性についてです。


2014年5月21日、米Hewlett-Packard(HP)傘下のセキュリティ企業TippingPointが、IE8に存在する未解決の脆弱性に関する情報を公開しました。
この脆弱性をついたゼロデイ攻撃の発生も報告されました。

TippingPointのZero Day Initiative(ZID)サイトに問題の情報が掲載されてます。

Zero Day Initiative - IEのCMarkupは使用後、自由にコード実行される脆弱性がある。
※上記のリンクは外部サイトが別ウィンドウで開きます。

IE8にCMarkupオブジェクトの処理に起因する解放後使用の問題があるようです。
悪用される場合、悪質なWebサイトの閲覧、不正ファイルの展開などを誘導する手口から、リモートで任意のコードを実行される恐れがあります。

当面の一般的な対策は次の通りです。
・メールなどに埋め込まれているリンクを不用意にクリックしない。
・添付されたファイルを不用意に開かない。

どれも今回の脆弱性に限った対策ではありませんが、ついやってしまうありがちな操作です。
気をつけましょう。
また、一般的な注意事項のほかにMicrosoftの脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」のインストールが推奨されてます。
EMETをインストールすれば、攻撃者が脆弱性を悪用することが困難になるようです。

ITmedia ニュース - IEに新たな未解決の脆弱性、セキュリティ企業が公表
※上記のリンクは外部サイトが別ウィンドウで開きます。

2014年4月28日にMicrosoftで公開されたIEに関する未修正の脆弱性問題が解消されたばかりですが、まだ安心していられませんね。

注意喚起として、本日の小話を以上とします。

0 件のコメント:

コメントを投稿