Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「IE 8」のゼロデイ脆弱性を修正する「MS13-038」が公開

日本マイクロソフトは、月例セキュリティ更新プログラム「MS13-038」の提供を開始し、予告どおりゼロデイ攻撃が発生している「Internet Explorer 8」の脆弱性を修正した。

問題とされる脆弱性「CVE-2013-1347」は、「IE 8」の「CGenericElementオブジェクト」に存在。影響を受けるバージョンは「IE 8」で、細工が施されたウェブページを閲覧すると、任意のコードを実行されるおそれがある。

正規サイトの改ざんでゼロデイ攻撃として悪用されていることが判明しており、日本マイクロソフトでは、適用優先度をもっとも高い「1」に設定し、対応を呼びかけている。「IE 9」は、現時点で攻撃を受けるおそれはないが、内部に同様のコードが含まれるとして、予防措置としてアップデートの対象となっている。

同社では、今回のセキュリティ更新プログラムの公開に先駆け、緩和策として「Fix it」の提供を行っているが、「MS13-038」の適用にあたり、適用前に戻す作業は不要だという。「Fix it」の適用による速度低下があるものの、体感できないレベルであると同社では説明している。

また5月の定例更新は、「IE」を対象とした修正プログラムが2件となった。「IE」に見つかった脆弱性は、累積的な脆弱性として対処されるケースが多い。

今回プログラムがふたつにわかれた理由について、同社セキュリティレスポンスチームでチーフセキュリティアドバイザーを務める高橋正和氏は、「累積的なプログラムに追加することも可能だが、その場合は互換性の検証など時間を要すため、今回はプログラムをわけた」と説明する。

「MS13-038」を適用する際の注意点としては、「MS13-037」を同時に適用することが挙げられる。適用する順番に制限はないが、適用しないと互換性の問題が生じるという。

また「CVE-2013-1347」の脆弱性について、悪用コードによる攻撃の再現性について検証を行い、レポートを公開していたNTTデータ先端技術は、セキュリティ更新プログラムの公開を受けてレポートを更新した。

「MS13-038」を適用した状態で再検証したところ、攻撃コードによるシステム奪取は再現できず、脆弱性が修正されたことを確認。動作確認を行った上で、アップデートを適用するよう呼びかけている。

(Security NEXT - 2013/05/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

全日空のiOSアプリに脆弱性 - 中間者攻撃受けるおそれ
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
CMSの「Zenphoto」にコード実行の脆弱性 - 最新版で修正
「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を
MS、AMDプロセッサ向けに「Spectre」緩和策を追加
「Chrome」に重要度「高」の脆弱性 - アップデートがリリース
「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで
MS、6月の月例パッチをリリース - 脆弱性1件が公開済み、悪用は未確認
Windows版LINEにリンクでDLL読込パスを指定できる脆弱性 - すでに修正済み
スマートデバイス向け「VMware AirWatch Agent」に深刻な脆弱性