「Internet Explorer」に見つかった未解決の脆弱性に対し、ウェブの改ざんなど利用したゼロデイ攻撃が発生している。
IEのデータバインディング処理に含まれる脆弱性に対する攻撃を、NTTデータ・セキュリティが確認したもの。同社では今回の脆弱性について検証レポートをまとめ、注意を呼びかけている。
同社は今回、Windows XPやWindows Server 2003、同2008の各エディションを用意し、IE 6から8までをインストールし、検証を実施。その結果、攻撃者のコンピュータからシステムの制御を奪取できることを実証した。
さらに同社では、SQLインジェクション攻撃によりウェブサイトを改ざん、ウェブサイトへ誘因することで攻撃を行うケースを確認しており、ウェブサイトへアクセスしただけで攻撃を受ける可能性があると危険性を指摘。マイクロソフトが公表している回避策などを実行するよう注意喚起を行っている。
(Security NEXT - 2008/12/17 )
ツイート
関連リンク
PR
関連記事
「Duqu」が狙った脆弱性、別の複数プログラムから見つかる - MSが月例パッチで修正
重要パッチあり、休暇明けのセキュリティ対策徹底を - 未読メールに標的型攻撃が潜む可能性も
Apple、ゼロデイ攻撃発生しているJavaの脆弱性を修正
「Flash Player」の既知脆弱性「CVE-2012-0754」に対する標的型攻撃が発生
「Adobe Reader」「Adobe Acrobat」のアップデートを一部プラットフォームへ公開 - ゼロデイ攻撃受けた脆弱性に対応
今のところ「Duqu」は限定的 - 修正パッチ公開後は攻撃に警戒を
MS、予定より1件少ない月例パッチ13件を公開 - 優先度高いプログラムは2件
「Adobe Reader」へのゼロデイ攻撃、類似攻撃が2006年から - 潤沢な資金持つ組織が関与か
MS、12月の月例パッチは14件 - 「Duqu」が悪用する脆弱性も修正予定
Adobe Readerに深刻な脆弱性、ゼロデイ攻撃も - 12月第3週にアップデートを公開予定
