Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「IE 8」のゼロデイ脆弱性を修正する「MS13-038」が公開

日本マイクロソフトは、月例セキュリティ更新プログラム「MS13-038」の提供を開始し、予告どおりゼロデイ攻撃が発生している「Internet Explorer 8」の脆弱性を修正した。

問題とされる脆弱性「CVE-2013-1347」は、「IE 8」の「CGenericElementオブジェクト」に存在。影響を受けるバージョンは「IE 8」で、細工が施されたウェブページを閲覧すると、任意のコードを実行されるおそれがある。

正規サイトの改ざんでゼロデイ攻撃として悪用されていることが判明しており、日本マイクロソフトでは、適用優先度をもっとも高い「1」に設定し、対応を呼びかけている。「IE 9」は、現時点で攻撃を受けるおそれはないが、内部に同様のコードが含まれるとして、予防措置としてアップデートの対象となっている。

同社では、今回のセキュリティ更新プログラムの公開に先駆け、緩和策として「Fix it」の提供を行っているが、「MS13-038」の適用にあたり、適用前に戻す作業は不要だという。「Fix it」の適用による速度低下があるものの、体感できないレベルであると同社では説明している。

また5月の定例更新は、「IE」を対象とした修正プログラムが2件となった。「IE」に見つかった脆弱性は、累積的な脆弱性として対処されるケースが多い。

今回プログラムがふたつにわかれた理由について、同社セキュリティレスポンスチームでチーフセキュリティアドバイザーを務める高橋正和氏は、「累積的なプログラムに追加することも可能だが、その場合は互換性の検証など時間を要すため、今回はプログラムをわけた」と説明する。

「MS13-038」を適用する際の注意点としては、「MS13-037」を同時に適用することが挙げられる。適用する順番に制限はないが、適用しないと互換性の問題が生じるという。

また「CVE-2013-1347」の脆弱性について、悪用コードによる攻撃の再現性について検証を行い、レポートを公開していたNTTデータ先端技術は、セキュリティ更新プログラムの公開を受けてレポートを更新した。

「MS13-038」を適用した状態で再検証したところ、攻撃コードによるシステム奪取は再現できず、脆弱性が修正されたことを確認。動作確認を行った上で、アップデートを適用するよう呼びかけている。

(Security NEXT - 2013/05/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

一部製品のTLS実装に暗号解読される脆弱性、「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響
MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
「Fluentd」向けプラグイン「parse Filter Plugin」に脆弱性
MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず
「iOS 11.2」では脆弱性14件を解消 - 「KRACK」の修正対象を拡大
「公的個人認証サービス」のインストーラに再び脆弱性