Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「IE」脆弱性に対するゼロデイ攻撃、国内でも

「Internet Explorer」に未修正の脆弱性が明らかとなった問題で、国内においても同脆弱性を悪用したと見られる「ゼロデイ攻撃」が確認された。

問題とされる「CVE-2020-0674」は、「IE 9」以降に搭載されているスクリプトエンジン「jscript.dll」に存在するメモリ破壊の脆弱性。

マイクロソフトでは、すでにゼロデイ攻撃が発生していることを明らかにしているが、国内においても脆弱性を悪用したと見られる攻撃をJPCERTコーディネーションセンターが確認した。

デフォルトのスクリプトエンジンである「Jscript9.dll」は、脆弱性の影響を受けないため、一部サイトで互換性を維持するために利用されている「JScript.dll」へのアクセスを制限する方法が、マイクロソフトより回避策としてアナウンスされている。

JPCERT/CCでは、回避策の実施や、脆弱性の影響を受けない他ベンダー製のブラウザを使用することなどを検討するよう、注意を呼びかけている。

(Security NEXT - 2020/01/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

既知の脆弱性10件、積極的な悪用に警戒を - 約10年前の脆弱性も
MS、独自修正含む「Microsoft Edge 101.0.1210.32」をリリース
Officeファイル開くとコード実行されるゼロデイ脆弱性が判明 - すでに悪用も
MS、5月の月例パッチで脆弱性55件を修正 - 3件が公開済み
MS、3月の月例セキュリティ更新を公開 - ゼロデイ脆弱性にも対応
MS、月例パッチで脆弱性112件に対処 - 一部ゼロデイ攻撃も
MS、9月の月例パッチで脆弱性129件を修正
8月修正のIE脆弱性、韓企業狙う標的型攻撃で悪用
MS月例パッチが公開、脆弱性120件を修正 - すでに悪用も
MS、7月の月例パッチで脆弱性123件を修正 - 悪用は未確認