IEの未修整脆弱性、定例外パッチの予定なし - ドライブバイダウンロードによるゼロデイ攻撃も
マイクロソフトは、11月4日に深刻な脆弱性が見つかったとして、「Internet Explorer」に関するアドバイザリを公表しているが、11月10日の時点でセキュリティ更新プログラムを定例外で提供する計画がないことを明らかにした。
アドバイザリが公表された時点で標的型攻撃が確認されていたが、それ以降マイクロソフトでは海外を中心に、脆弱性を悪用するゼロデイ攻撃が拡大していることを把握している。
また同脆弱性については、日本IBMも8日の時点で「.ru」ドメインでホストされているサーバ経由で、ドライブバイダウンロード攻撃が行われていることを確認している。
マイクロソフトでは、IEのアップデートについてプラグインが多数提供されており影響が大きく、一定水準の品質を確保するため準備に時間を要すると説明。
同社が確認している攻撃の発生状況からも定例外による緊急対応は現時点で予定しておらず、攻撃や被害の発生状況など、今後の動向の変化に応じて提供を検討していきたいとしている。
(Security NEXT - 2010/11/10 )
ツイート
関連リンク
PR
関連記事
「MOVEit Transfer」の脆弱性、脅迫グループが悪用か
「Barracuda ESG」脆弱性、修正の7カ月前に悪用の痕跡
複数Apple製品が影響を受ける脆弱性 - 米政府が注意喚起
Macに悪用済み脆弱性 - セキュリティアップデートを公開
Fortinet製品のSSL VPN機能に脆弱性 - すでに悪用、侵害調査を
「Microsoft Edge」の独自修正が明らかに - 約2週前のリリースで
「Chrome」や「Microsoft Edge」にアップデート - ゼロデイ脆弱性に再度対処
「MinIO」や「PaperCut」の脆弱性、積極的に悪用
ゴールデンウィークに向けてセキュリティ体制の再確認を
ゼロデイ脆弱性に対処した「Microsoft Edge 112.0.1722.48」が公開