Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IEに未修正の脆弱性、標的型攻撃が発生 - 緩和策の実施を

「Internet Explorer」に存在する未修正の脆弱性が公開された。すでに脆弱性を狙う標的型攻撃が発生しており、Microsoftでは修正パッチの開発を進めるとともに、回避策「Fix it」を公開している。

米Microsoftのセキュリティアドバイザリによれば、「IE」の一部バージョンにメモリ破損の脆弱性「CVE-2012-4792」が存在。細工したウェブサイトに誘導するなど、脆弱性を攻撃することにより、リモートでコードを実行することが可能だという。

問題の脆弱性は「同8」「同7」「同6」に含まれており、「同9」および「同10」は影響を受けない。すでに同社では「同8」に対する標的型攻撃を確認している。

同社では、定例外で提供する可能性を含め、修正プログラムの開発にあたっている。またセキュリティベンダーが参加する「MAPP(Microsoft Active Protections Program)」を通じて情報を共有している。

さらに攻撃を回避できるよう設定を変更する「Fix it」を公開。脆弱性攻撃の影響を緩和する無料ツール「EMET(Enhanced Mitigation Experience Toolkit)」の活用などを呼びかけている。

(Security NEXT - 2013/01/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Cisco ISE」の脆弱性、順次パッチ提供 - リリース後は悪用コードが利用可能に
コンテナ管理プラットフォーム「Rancher」に深刻な脆弱性
米CISA、悪用済み脆弱性リストに10件追加 - 早急に対処を
「Exim」で深刻な脆弱性をサイレント修正 - 認知進まず未修正のディストロも
会議室用ウェブカメラに脆弱性、詳細も公開 - 米政府は悪用脆弱性リストに追加
SMB向けのSonicWall製VPN製品、脆弱性未修正機器が多数稼働か
「Drupal」に複数脆弱性 - サードパーティ製ライブラリに起因
Windowsのゼロデイ脆弱性、開発会社狙う攻撃で発見 - 検体公開後は試行増加
小規模環境向けの一部Cisco製VPNルータに脆弱性 - EOLで修正予定なし
「Windows印刷スプーラーサービス」にあらたなゼロデイ脆弱性 - MSがパッチ開発中