Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「IE 8」のゼロデイ脆弱性を修正する「MS13-038」が公開

日本マイクロソフトは、月例セキュリティ更新プログラム「MS13-038」の提供を開始し、予告どおりゼロデイ攻撃が発生している「Internet Explorer 8」の脆弱性を修正した。

問題とされる脆弱性「CVE-2013-1347」は、「IE 8」の「CGenericElementオブジェクト」に存在。影響を受けるバージョンは「IE 8」で、細工が施されたウェブページを閲覧すると、任意のコードを実行されるおそれがある。

正規サイトの改ざんでゼロデイ攻撃として悪用されていることが判明しており、日本マイクロソフトでは、適用優先度をもっとも高い「1」に設定し、対応を呼びかけている。「IE 9」は、現時点で攻撃を受けるおそれはないが、内部に同様のコードが含まれるとして、予防措置としてアップデートの対象となっている。

同社では、今回のセキュリティ更新プログラムの公開に先駆け、緩和策として「Fix it」の提供を行っているが、「MS13-038」の適用にあたり、適用前に戻す作業は不要だという。「Fix it」の適用による速度低下があるものの、体感できないレベルであると同社では説明している。

また5月の定例更新は、「IE」を対象とした修正プログラムが2件となった。「IE」に見つかった脆弱性は、累積的な脆弱性として対処されるケースが多い。

今回プログラムがふたつにわかれた理由について、同社セキュリティレスポンスチームでチーフセキュリティアドバイザーを務める高橋正和氏は、「累積的なプログラムに追加することも可能だが、その場合は互換性の検証など時間を要すため、今回はプログラムをわけた」と説明する。

「MS13-038」を適用する際の注意点としては、「MS13-037」を同時に適用することが挙げられる。適用する順番に制限はないが、適用しないと互換性の問題が生じるという。

また「CVE-2013-1347」の脆弱性について、悪用コードによる攻撃の再現性について検証を行い、レポートを公開していたNTTデータ先端技術は、セキュリティ更新プログラムの公開を受けてレポートを更新した。

「MS13-038」を適用した状態で再検証したところ、攻撃コードによるシステム奪取は再現できず、脆弱性が修正されたことを確認。動作確認を行った上で、アップデートを適用するよう呼びかけている。

(Security NEXT - 2013/05/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

「OpenSSL 3.5.1」がリリース - コピペミス起因脆弱性を解消
「FortiOS」に脆弱性 - アドバイザリ3件を公開
米当局、2019年以前の既知脆弱性4件を悪用リストに追加
FTPサーバ「WingFTP」に深刻な脆弱性 - アップデートで修正
トレンドマイクロ製パスワード管理ツールに複数の脆弱性
「WAGO Device Sphere」に脆弱性 - 同一証明書により認証回避が可能
「XenServer 8.4」に脆弱性 - アップデートをリリース
APIゲートウェイ「Apache APISIX」に認証回避おそれ
「Apache Seata」脆弱性、対象版に誤り - 一部で「クリティカル」との評価も
ITインフラ監視ツール「Pandora FMS」に脆弱性 - アップデートで修正