「IE 8」のゼロデイ脆弱性を修正する「MS13-038」が公開

日本マイクロソフトは、月例セキュリティ更新プログラム「MS13-038」の提供を開始し、予告どおりゼロデイ攻撃が発生している「Internet Explorer 8」の脆弱性を修正した。

問題とされる脆弱性「CVE-2013-1347」は、「IE 8」の「CGenericElementオブジェクト」に存在。影響を受けるバージョンは「IE 8」で、細工が施されたウェブページを閲覧すると、任意のコードを実行されるおそれがある。

正規サイトの改ざんでゼロデイ攻撃として悪用されていることが判明しており、日本マイクロソフトでは、適用優先度をもっとも高い「1」に設定し、対応を呼びかけている。「IE 9」は、現時点で攻撃を受けるおそれはないが、内部に同様のコードが含まれるとして、予防措置としてアップデートの対象となっている。

同社では、今回のセキュリティ更新プログラムの公開に先駆け、緩和策として「Fix it」の提供を行っているが、「MS13-038」の適用にあたり、適用前に戻す作業は不要だという。「Fix it」の適用による速度低下があるものの、体感できないレベルであると同社では説明している。

また5月の定例更新は、「IE」を対象とした修正プログラムが2件となった。「IE」に見つかった脆弱性は、累積的な脆弱性として対処されるケースが多い。

今回プログラムがふたつにわかれた理由について、同社セキュリティレスポンスチームでチーフセキュリティアドバイザーを務める高橋正和氏は、「累積的なプログラムに追加することも可能だが、その場合は互換性の検証など時間を要すため、今回はプログラムをわけた」と説明する。

「MS13-038」を適用する際の注意点としては、「MS13-037」を同時に適用することが挙げられる。適用する順番に制限はないが、適用しないと互換性の問題が生じるという。

また「CVE-2013-1347」の脆弱性について、悪用コードによる攻撃の再現性について検証を行い、レポートを公開していたNTTデータ先端技術は、セキュリティ更新プログラムの公開を受けてレポートを更新した。

「MS13-038」を適用した状態で再検証したところ、攻撃コードによるシステム奪取は再現できず、脆弱性が修正されたことを確認。動作確認を行った上で、アップデートを適用するよう呼びかけている。

（Security NEXT - 2013/05/15 ）ツイート