Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS月例パッチでは相関関係ない「2件」のIEゼロデイ脆弱性を修正 - いずれも日本がターゲットか

「Internet Explorer」における未修正の脆弱性にゼロデイ攻撃が発生していた問題で、マイクロソフトは、10月の月例セキュリティ更新プログラム「MS13-080」にて脆弱性を修正した。これ以外にも、ゼロデイ攻撃の対象となっていた脆弱性が存在し、早急にアップデートすることが求められる。

当初判明していた脆弱性「CVE-2013-3893」は、開放したオブジェクトへのポインタを削除しないために不正なアドレスへアクセスが可能となり、リモートからコード実行が可能となる脆弱性。細工が施されたサイトを閲覧すると、制御を奪われる可能性がある。「Windows 7」で動作する「IE 11」を除き、サポート中であるほぼすべての「Windows」で動作する「IE」が影響を受ける。

今回の脆弱性は、日本国内の組織を対象とした標的型攻撃をラックが確認。同社より報告を受けたマイクロソフトでは、9月17日にセキュリティアドバイザリを公開するとともに「Fix it」をリリース。「EMET」をはじめ、緩和策を実施するようユーザーにアナウンスを行っていた。

その後、脆弱性検証ツール「Metasploit」にモジュールが追加されるなど、より悪用が容易な状態となっており、日本以外にも攻撃が拡大しつつある。

一方「MS13-080」では、「CVE-2013-3893」を含むあわせて10件の脆弱性に対応しているが、そのなかに含まれる「CVE-2013-3897」についても、10月9日の時点で一般的に脆弱性は公開されていないものの、標的型のゼロデイ攻撃による悪用が確認されているという。

同弱性は9月中旬に発見されたもので、攻撃を受けると、細工されたウェブサイトを閲覧することにより、パソコンの制御を奪われる可能性がある。「Windows XP」で動作する「IE 8」のみ影響があり、標的型攻撃は、日本語や韓国語を利用するユーザーを対象としていた。

日本マイクロソフトによれば、現時点で、「CVE-2013-3893」と「CVE-2013-3897」に相関関係は見つかっておらず、2種類の異なる脆弱性に対し、別のゼロデイ攻撃が同時に発生していたことになる。

今回のセキュリティ更新プログラムが、月例更新のタイミングで提供されたことについて、同社チーフセキュリティアドバイザーの高橋正和氏は、「定例外のアップデートはユーザーの負担が大きい。センシティブな問題であり、脆弱性の悪用状況に注視してきたが、品質確保といった点を含め、今回のタイミングが最適だと判断した」と話している。

またセキュリティレスポンスチームのセキュリティプログラムマネージャーである牧田進矢氏によれば、9月にアドバイザリを公表した際、一部から脆弱性に対する問い合わせが寄せられたものの、目立った混乱などはなかった。

(Security NEXT - 2013/10/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

Apple、Macやスマデバのアップデート公開 - ゼロデイ脆弱性を解消
「iOS」「iPadOS」のゼロデイ脆弱性について注意喚起 - 米当局
2月修正のWindows脆弱性、北朝鮮グループがゼロデイ攻撃に悪用
Ivanti、「外部整合性チェックツールICT」の機能強化版を公開
IvantiのVPN製品脆弱性、限定的な攻撃から多様な攻撃へと発展
米当局、「Cisco ASA」など悪用が確認された脆弱性4件について注意喚起
Windowsのゼロデイ脆弱性「CVE-2024-21412」、昨年12月下旬より悪用
「Exchange Server」の脆弱性、すでに悪用 - MSが2月のパッチ情報を更新
Ivanti製品のあらたなゼロデイ脆弱性 - 米当局が3日以内の対応を要請
Ivantiがアップデートをリリース - あらたなゼロデイ脆弱性も公表