MS月例パッチでは相関関係ない「2件」のIEゼロデイ脆弱性を修正 - いずれも日本がターゲットか

「Internet Explorer」における未修正の脆弱性にゼロデイ攻撃が発生していた問題で、マイクロソフトは、10月の月例セキュリティ更新プログラム「MS13-080」にて脆弱性を修正した。これ以外にも、ゼロデイ攻撃の対象となっていた脆弱性が存在し、早急にアップデートすることが求められる。

当初判明していた脆弱性「CVE-2013-3893」は、開放したオブジェクトへのポインタを削除しないために不正なアドレスへアクセスが可能となり、リモートからコード実行が可能となる脆弱性。細工が施されたサイトを閲覧すると、制御を奪われる可能性がある。「Windows 7」で動作する「IE 11」を除き、サポート中であるほぼすべての「Windows」で動作する「IE」が影響を受ける。

今回の脆弱性は、日本国内の組織を対象とした標的型攻撃をラックが確認。同社より報告を受けたマイクロソフトでは、9月17日にセキュリティアドバイザリを公開するとともに「Fix it」をリリース。「EMET」をはじめ、緩和策を実施するようユーザーにアナウンスを行っていた。

その後、脆弱性検証ツール「Metasploit」にモジュールが追加されるなど、より悪用が容易な状態となっており、日本以外にも攻撃が拡大しつつある。

一方「MS13-080」では、「CVE-2013-3893」を含むあわせて10件の脆弱性に対応しているが、そのなかに含まれる「CVE-2013-3897」についても、10月9日の時点で一般的に脆弱性は公開されていないものの、標的型のゼロデイ攻撃による悪用が確認されているという。

同弱性は9月中旬に発見されたもので、攻撃を受けると、細工されたウェブサイトを閲覧することにより、パソコンの制御を奪われる可能性がある。「Windows XP」で動作する「IE 8」のみ影響があり、標的型攻撃は、日本語や韓国語を利用するユーザーを対象としていた。

日本マイクロソフトによれば、現時点で、「CVE-2013-3893」と「CVE-2013-3897」に相関関係は見つかっておらず、2種類の異なる脆弱性に対し、別のゼロデイ攻撃が同時に発生していたことになる。

今回のセキュリティ更新プログラムが、月例更新のタイミングで提供されたことについて、同社チーフセキュリティアドバイザーの高橋正和氏は、「定例外のアップデートはユーザーの負担が大きい。センシティブな問題であり、脆弱性の悪用状況に注視してきたが、品質確保といった点を含め、今回のタイミングが最適だと判断した」と話している。

またセキュリティレスポンスチームのセキュリティプログラムマネージャーである牧田進矢氏によれば、9月にアドバイザリを公表した際、一部から脆弱性に対する問い合わせが寄せられたものの、目立った混乱などはなかった。

（Security NEXT - 2013/10/09 ） ツイート

PR

関連記事

「MS Edge」も2度にわたり更新 - ゼロデイ脆弱性を解消
連日「Chrome」が緊急アップデート - 前回未修正のゼロデイ脆弱性に対処
Apple、「iOS 16/15」向けにセキュリティ更新 - 悪用脆弱性を解消
前回更新から2日で「Chrome」がアップデート - ゼロデイ脆弱性を緊急修正
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
「Android」に月例パッチ、脆弱性107件に対応 - 2件ですでに悪用も
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
「Chrome」にセキュリティアップデート - 今月4度目の脆弱性対応
「iOS/iPadOS 26.3」を公開 - ゼロデイ含む複数脆弱性を解消
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件