Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【IEゼロデイ】サポート終了「Windows XP」に修正予定ない最初の脆弱性

「Internet Explorer」にリモートからコード実行が可能となる深刻なゼロデイ脆弱性が明らかとなったが、米Symantecは、サポートが終了した「Windows XP」も脆弱性の影響を受けることを明らかにした。「Windows XP」が対象となるゼロデイ攻撃は現状確認されていないが、今後注意が必要だ。

今回明らかとなった「CVE-2014-1776」は、「IE 6」以降すべてのバージョンが影響を受ける脆弱性。細工されたウェブサイトを閲覧するとコードを実行され、端末の制御を奪われるおそれがある。セキュリティ更新プログラムは提供されておらず、Microsoftでは提供の準備に向けて調査を進めている。

米Symantecが、同脆弱性について調査を行ったところ、4月9日にサポートが終了した「Windows XP」上で動作する「Internet Explorer」に関しても影響を受けることを確認したという。

「IE」は、「同6」以降がサポート対象となっているが、これはサポート中のOSに搭載されているものに限られる。サポートが終了したOSに搭載されている「IE」は対象外であり、Symantecでは、「CVE-2014-1776」について「Windows XP」に対して修正プログラムが提供されない最初の脆弱性であると指摘している。

脆弱性に対する標的型攻撃が確認されているが、米FireEyeによれば、現在確認されているゼロデイ攻撃は、「同9」「同10」「同11」を対象としたもの。

「Windows XP」上で動作するのは「同8」までのため、攻撃そのものは「Windows XP」を対象にしていない。しかし脆弱性そのものは存在するため、今後「Windows XP」が攻撃を受けるおそれもあり、予断を許さない状況だ。

(Security NEXT - 2014/04/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

MS、6月の月例パッチをリリース - 脆弱性1件が公開済み、悪用は未確認
MS、月例パッチで脆弱性67件を解消 - 2件でゼロデイ攻撃が発生
Google、「Windows 10」のゼロデイ脆弱性を公開 - セキュリティ機能をバイパス
IEに未修正の脆弱性、APT攻撃に悪用との指摘
4月のMS月例パッチ、「緊急」22件含む脆弱性65件を修正
MS、3月の月例パッチを公開 - 74件の脆弱性を解消
MS、月例パッチで50件の脆弱性を修正 - 一部公開済みの脆弱性も
Flashゼロデイ脆弱性に北朝鮮関与 - 11月中旬より悪用
MS、ブラウザ同梱版「Flash Player」向けに定例外更新
MS、ゼロデイ脆弱性の修正含む月例パッチを公開 - 公開済み定例外パッチにも注意を