Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ラックがIEゼロデイ脆弱性による被害を確認 - 緩和策不可の場合は他ブラウザ利用検討を

ラックは、同社の監視センターや緊急対応チームを通じて、「Internet Explorer」のゼロデイ脆弱性に起因する被害を実際に確認しているとして、注意喚起を行った。

問題の脆弱性「CVE-2013-3893」は、「IE 6」以降の全バージョンが影響を受ける脆弱性。細工が施されたウェブサイトを閲覧しただけで、悪意あるコードを実行され、端末の制御を奪われてしまうおそれがある。

現時点で脆弱性を修正する方法は提供されておらず、日本マイクロソフトでは、攻撃の影響を緩和する対策をアナウンスするとともに、セキュリティ更新プログラムの開発を急いでいる。

ラックでは、今回の攻撃を悪用した標的型攻撃により実際に被害が発生していることを確認。日本マイクロソフトが提供している緩和策「Fix it」の有効性を確認しているとして、同ソリューションの適用や、脆弱性を緩和する無料ツール「Enhanced Mitigation Experience Toolkit(EMET)」の活用を呼びかけた。

またこれら緩和策を実施できない場合は、「IE」の使用を制限し、他ブラウザを使用する運用も検討するよう警鐘を鳴らしている。

(Security NEXT - 2013/09/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Windows」にゼロデイ脆弱性、PoCが公開 - 8月の「ALPC脆弱性」公表と同一人物
MS月例パッチがリリース、一部でゼロデイ攻撃が発生 - 公開済み脆弱性にも対処
悪用確認済みの「Windowsタスクスケジューラ」脆弱性に修正パッチ - PoC公表から約2週間
MS、月例パッチで脆弱性62件を修正 - 「Windows ALPC」のゼロデイ脆弱性に対応
Windowsタスクスケジューラのゼロデイ脆弱性、回避策が公開 - 独自パッチも
8月修正のゼロデイ脆弱性、「Darkhotel」と関連 - 背後に北朝鮮の影
「Ghostscript」に保護機能回避の脆弱性が再び - 「ImageMagick」などにも影響
MS、8月の月例パッチ公開 - 脆弱性2件でゼロデイ攻撃
西日本豪雨に便乗する詐欺に注意 - 義援金は信頼できる振込先へ
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト