Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「IE」脆弱性に対するゼロデイ攻撃、国内でも

「Internet Explorer」に未修正の脆弱性が明らかとなった問題で、国内においても同脆弱性を悪用したと見られる「ゼロデイ攻撃」が確認された。

問題とされる「CVE-2020-0674」は、「IE 9」以降に搭載されているスクリプトエンジン「jscript.dll」に存在するメモリ破壊の脆弱性。

マイクロソフトでは、すでにゼロデイ攻撃が発生していることを明らかにしているが、国内においても脆弱性を悪用したと見られる攻撃をJPCERTコーディネーションセンターが確認した。

デフォルトのスクリプトエンジンである「Jscript9.dll」は、脆弱性の影響を受けないため、一部サイトで互換性を維持するために利用されている「JScript.dll」へのアクセスを制限する方法が、マイクロソフトより回避策としてアナウンスされている。

JPCERT/CCでは、回避策の実施や、脆弱性の影響を受けない他ベンダー製のブラウザを使用することなどを検討するよう、注意を呼びかけている。

(Security NEXT - 2020/01/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、5月の月例セキュリティ更新をリリース - 脆弱性111件を修正
MSが4月の月例パッチ、脆弱性113件を修正 - すでに3件で悪用
Google、「Windows 10」のゼロデイ脆弱性を公開 - セキュリティ機能をバイパス
MS、月例パッチを公開、脆弱性115件に対処 - 悪用未確認
MS、月例パッチで脆弱性99件を解消 - ゼロデイ脆弱性も修正
「IE」に未修正のRCE脆弱性、ゼロデイ攻撃も - 「Windows 7」にも影響
MS、2020年最初の月例パッチを公開 - 脆弱性49件を修正
MS月例パッチが公開、脆弱性35件を修正 - 一部ですでに悪用も
MS月例更新がリリース、脆弱性74件を修正 - 一部でゼロデイ攻撃も
MS月例パッチが公開、脆弱性59件を修正 - 悪用は未確認