MS月例パッチでは相関関係ない「2件」のIEゼロデイ脆弱性を修正 - いずれも日本がターゲットか
「Internet Explorer」における未修正の脆弱性にゼロデイ攻撃が発生していた問題で、マイクロソフトは、10月の月例セキュリティ更新プログラム「MS13-080」にて脆弱性を修正した。これ以外にも、ゼロデイ攻撃の対象となっていた脆弱性が存在し、早急にアップデートすることが求められる。
当初判明していた脆弱性「CVE-2013-3893」は、開放したオブジェクトへのポインタを削除しないために不正なアドレスへアクセスが可能となり、リモートからコード実行が可能となる脆弱性。細工が施されたサイトを閲覧すると、制御を奪われる可能性がある。「Windows 7」で動作する「IE 11」を除き、サポート中であるほぼすべての「Windows」で動作する「IE」が影響を受ける。
今回の脆弱性は、日本国内の組織を対象とした標的型攻撃をラックが確認。同社より報告を受けたマイクロソフトでは、9月17日にセキュリティアドバイザリを公開するとともに「Fix it」をリリース。「EMET」をはじめ、緩和策を実施するようユーザーにアナウンスを行っていた。
その後、脆弱性検証ツール「Metasploit」にモジュールが追加されるなど、より悪用が容易な状態となっており、日本以外にも攻撃が拡大しつつある。
一方「MS13-080」では、「CVE-2013-3893」を含むあわせて10件の脆弱性に対応しているが、そのなかに含まれる「CVE-2013-3897」についても、10月9日の時点で一般的に脆弱性は公開されていないものの、標的型のゼロデイ攻撃による悪用が確認されているという。
同弱性は9月中旬に発見されたもので、攻撃を受けると、細工されたウェブサイトを閲覧することにより、パソコンの制御を奪われる可能性がある。「Windows XP」で動作する「IE 8」のみ影響があり、標的型攻撃は、日本語や韓国語を利用するユーザーを対象としていた。
日本マイクロソフトによれば、現時点で、「CVE-2013-3893」と「CVE-2013-3897」に相関関係は見つかっておらず、2種類の異なる脆弱性に対し、別のゼロデイ攻撃が同時に発生していたことになる。
今回のセキュリティ更新プログラムが、月例更新のタイミングで提供されたことについて、同社チーフセキュリティアドバイザーの高橋正和氏は、「定例外のアップデートはユーザーの負担が大きい。センシティブな問題であり、脆弱性の悪用状況に注視してきたが、品質確保といった点を含め、今回のタイミングが最適だと判断した」と話している。
またセキュリティレスポンスチームのセキュリティプログラムマネージャーである牧田進矢氏によれば、9月にアドバイザリを公表した際、一部から脆弱性に対する問い合わせが寄せられたものの、目立った混乱などはなかった。
(Security NEXT - 2013/10/09 )
ツイート
PR
関連記事
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起
「Trend Micro Apex One」脆弱性でセキュリティ機関も注意喚起
「Trend Micro Apex One」に脆弱性、攻撃も発生 - パッチは8月中旬
8月の定例パッチ公開は日本時間8月13日 - 「盆休み」直撃
Apple、「macOS Sequoia 15.6」など公開 - 脆弱性87件を修正
「iOS/iPadOS 18.6」で複数脆弱性を修正 - KEV掲載済みの脆弱性も
「MS Edge」にセキュリティアップデート - 脆弱性2件を解消
中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念
SonicWall「SMA 100」にバックドア、ゼロデイ攻撃か - 侵害調査の実施を
「SharePoint Server」に深刻な脆弱性「ToolShell」 - すでに悪用も
