Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IEに未修正の脆弱性、標的型攻撃が発生 - 緩和策の実施を

「Internet Explorer」に存在する未修正の脆弱性が公開された。すでに脆弱性を狙う標的型攻撃が発生しており、Microsoftでは修正パッチの開発を進めるとともに、回避策「Fix it」を公開している。

米Microsoftのセキュリティアドバイザリによれば、「IE」の一部バージョンにメモリ破損の脆弱性「CVE-2012-4792」が存在。細工したウェブサイトに誘導するなど、脆弱性を攻撃することにより、リモートでコードを実行することが可能だという。

問題の脆弱性は「同8」「同7」「同6」に含まれており、「同9」および「同10」は影響を受けない。すでに同社では「同8」に対する標的型攻撃を確認している。

同社では、定例外で提供する可能性を含め、修正プログラムの開発にあたっている。またセキュリティベンダーが参加する「MAPP(Microsoft Active Protections Program)」を通じて情報を共有している。

さらに攻撃を回避できるよう設定を変更する「Fix it」を公開。脆弱性攻撃の影響を緩和する無料ツール「EMET(Enhanced Mitigation Experience Toolkit)」の活用などを呼びかけている。

(Security NEXT - 2013/01/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Tomcat」にゼロデイ脆弱性 - 緩和策の実施を
「Foxit Reader」にゼロデイ脆弱性2件 - 公表受けて方針転換、修正へ
「Apache HTTP Web Server」のアップデートがリリース - 「同2.2系」は未修正だった4件も対処
Apple、Windows版QuickTimeのサポート終了をアナウンス
サポート終了でゼロデイ状態の「QuickTime for Windows」、インストーラにも脆弱性
Officeゼロデイ脆弱性に対する大規模メール攻撃、国内影響なし - 12日以降沈静化
「IE」「Edge」にパッチ未提供の脆弱性 - 90日経過でGoogleが公開
WordPress脆弱性狙う複数の攻撃キャンペーン - すでに数万件規模の被害か
サードパーティ製パッケージのBINDで脆弱性が未修正の可能性
「MySQL」のゼロデイ脆弱性、定例パッチで一部修正