Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IEに未修正の脆弱性、標的型攻撃が発生 - 緩和策の実施を

「Internet Explorer」に存在する未修正の脆弱性が公開された。すでに脆弱性を狙う標的型攻撃が発生しており、Microsoftでは修正パッチの開発を進めるとともに、回避策「Fix it」を公開している。

米Microsoftのセキュリティアドバイザリによれば、「IE」の一部バージョンにメモリ破損の脆弱性「CVE-2012-4792」が存在。細工したウェブサイトに誘導するなど、脆弱性を攻撃することにより、リモートでコードを実行することが可能だという。

問題の脆弱性は「同8」「同7」「同6」に含まれており、「同9」および「同10」は影響を受けない。すでに同社では「同8」に対する標的型攻撃を確認している。

同社では、定例外で提供する可能性を含め、修正プログラムの開発にあたっている。またセキュリティベンダーが参加する「MAPP(Microsoft Active Protections Program)」を通じて情報を共有している。

さらに攻撃を回避できるよう設定を変更する「Fix it」を公開。脆弱性攻撃の影響を緩和する無料ツール「EMET(Enhanced Mitigation Experience Toolkit)」の活用などを呼びかけている。

(Security NEXT - 2013/01/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「BIG-IP」脆弱性問題でF5が侵害の調査方法を公開 - 米政府も注意喚起
ビデオ会議などに用いるGrandstream製IP-PBXに深刻な脆弱性
Google、「Windows 10」のゼロデイ脆弱性を公開 - セキュリティ機能をバイパス
ゼロデイ脆弱性、攻撃対象は「Windows 7」 - 「Windows 10」への影響は限定的
「Windows」に脆弱性、すでにゼロデイ攻撃も - 回避策などの実施を
「IE」脆弱性に対するゼロデイ攻撃、国内でも
「IE」に未修正のRCE脆弱性、ゼロデイ攻撃も - 「Windows 7」にも影響
「Citrix ADC」更新が一部公開、SD-WAN製品にも影響 - 緩和策で問題も
「Citrix ADC」狙う悪用コード出回る - ゼロデイ攻撃に注意
「IE」ゼロデイ脆弱性へ対処する定例外更新を再リリース - 不具合判明受け