「IE 10」へのゼロデイ攻撃、「同9」にも影響か - 実証コードも公開

「Internet Explorer 10」に未修正の脆弱性が存在し、同脆弱性を狙ったゼロデイ攻撃が発生している問題で、「同9」も攻撃対象となる可能性があることがわかった。実証コードも公開されており、セキュリティ機関などは注意を呼びかけている。

問題の脆弱性「CVE-2014-0322」は、「MSHTMLライブラリ」の「CMarkupコンポーネント」に存在。「Adobe Flash Player」に脆弱性は含まれていないが、今回見つかったIEの脆弱性により、細工された「Flashファイル」を開くことによって、リモートでコードを実行されるおそれがある。17日の時点で修正プログラムは提供されていない。

「Windows 8」の「IE 10」では、標準で「Adobe Flash Player」が同梱されているため、追加ソフトウェアをインストールすることなく、脆弱性の攻撃を受けるおそれがある。

今回の脆弱性を悪用した標的型攻撃が、米FireEyeや米Symantecによって確認されているが、CERT/CCの情報によれば、すでに脆弱性の実証コードも公開されているという。また当初、脆弱性の影響範囲は「IE 10」のみとされていたが、「同9」についても攻撃を受ける可能性があるとの情報もあり、注意が必要だ。

セキュリティの専門機関やセキュリティベンダーでは、脆弱性の緩和策として、マイクロソフトが無償で提供している緩和ツール「Enhanced Mitigation Experience Toolkit（EMET）」の活用や、脆弱性の影響を受けない「IE 11」へのアップデートを推奨している。

（Security NEXT - 2014/02/17 ） ツイート

PR

関連記事

Drupal向け「OAuth」サーバモジュールに認可バイパスの脆弱性
Samsung製端末、ゼロデイ攻撃の標的に - 商用レベルスパイウェアを悪用か
バッファロー製ルータ「WSR-1800AX4シリーズ」に脆弱性 - ファームウェアの更新を
「GNU Libmicrohttpd」に複数脆弱性 - 実験的コンポーネントに起因
JetBrains「YouTrack」に複数の脆弱性 - トークン漏洩のおそれも
NECのHAクラスタソフト「CLUSTERPRO X」に深刻な脆弱性
Elasticのエンドポイント対策「Elastic Defend」に脆弱性 - 修正版を提供
「NVIDIA App」インストーラに脆弱性 - 権限昇格のおそれ
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を
Apple、「iOS 26.1」「iPadOS 26.1」を公開 - 56件の脆弱性を解消