Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「IE 8」のゼロデイ脆弱性を修正する「MS13-038」が公開

日本マイクロソフトは、月例セキュリティ更新プログラム「MS13-038」の提供を開始し、予告どおりゼロデイ攻撃が発生している「Internet Explorer 8」の脆弱性を修正した。

問題とされる脆弱性「CVE-2013-1347」は、「IE 8」の「CGenericElementオブジェクト」に存在。影響を受けるバージョンは「IE 8」で、細工が施されたウェブページを閲覧すると、任意のコードを実行されるおそれがある。

正規サイトの改ざんでゼロデイ攻撃として悪用されていることが判明しており、日本マイクロソフトでは、適用優先度をもっとも高い「1」に設定し、対応を呼びかけている。「IE 9」は、現時点で攻撃を受けるおそれはないが、内部に同様のコードが含まれるとして、予防措置としてアップデートの対象となっている。

同社では、今回のセキュリティ更新プログラムの公開に先駆け、緩和策として「Fix it」の提供を行っているが、「MS13-038」の適用にあたり、適用前に戻す作業は不要だという。「Fix it」の適用による速度低下があるものの、体感できないレベルであると同社では説明している。

また5月の定例更新は、「IE」を対象とした修正プログラムが2件となった。「IE」に見つかった脆弱性は、累積的な脆弱性として対処されるケースが多い。

今回プログラムがふたつにわかれた理由について、同社セキュリティレスポンスチームでチーフセキュリティアドバイザーを務める高橋正和氏は、「累積的なプログラムに追加することも可能だが、その場合は互換性の検証など時間を要すため、今回はプログラムをわけた」と説明する。

「MS13-038」を適用する際の注意点としては、「MS13-037」を同時に適用することが挙げられる。適用する順番に制限はないが、適用しないと互換性の問題が生じるという。

また「CVE-2013-1347」の脆弱性について、悪用コードによる攻撃の再現性について検証を行い、レポートを公開していたNTTデータ先端技術は、セキュリティ更新プログラムの公開を受けてレポートを更新した。

「MS13-038」を適用した状態で再検証したところ、攻撃コードによるシステム奪取は再現できず、脆弱性が修正されたことを確認。動作確認を行った上で、アップデートを適用するよう呼びかけている。

(Security NEXT - 2013/05/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Photoshop CC」に脆弱性、Windows版とMac版に影響
「みずほダイレクトアプリ」に盗聴や改ざんのおそれ - 修正版がリリース
「WordPress」向けAMP対応プラグインに深刻な脆弱性 - アップデートで修正
11月のMS月例パッチ修正された脆弱性、中東のゼロデイ攻撃で悪用済み
【修正あり】MS、月例パッチで脆弱性62件を修正 - ゼロデイ脆弱性などに対処
「Adobe Acrobat/Reader」に脆弱性、実証コードが公開済 - 早急に更新を
「VMware vRealize Log Insight」に認証回避の脆弱性
「VMware ESXi」に深刻な脆弱性 - ホスト上でコード実行のおそれ
「Adobe Acrobat/Reader」に悪用リスク高い脆弱性 - 早期適用推奨のアップデートが13日に公開予定
「Adobe Flash Player」に情報漏洩の脆弱性 - 悪用は未確認