脆弱性攻撃で標的となりやすい旧版Javaをブロック - MSがIEを機能強化
日本マイクロソフトは、9月の月例セキュリティ更新プログラムの公開にあわせて、9月10日より「Java ActiveXコントロール」のブロック機能を有効化した。
同機能は、8月に公開された月例セキュリティ更新プログラム「MS14-051」に実装されていたもので、9月10日より有効化した。ドライブバイダウンロード攻撃などで、旧バージョンのJavaに存在する既知の脆弱性が狙われることも多いことから、被害を防止するために対策が追加された。
IEで、ActiveXコントロールを利用するウェブサイトへアクセスすると、Java ActiveXコントロールのバージョンを確認。古いバージョンを利用している場合、通知バーに「Javaが最新ではなく、更新が必要であるためブロックした」との警告を表示する。
通知バーからは、「更新」「今回は実行」「危険性の説明」といった選択肢をユーザーが選択することが可能。「イントラネットゾーン」や「信頼済みサイト」は、同機能の対象外となる。同機能を利用するには、「Windows 7 SP1」や「Windows Server 2008 R2」以降のOSで、「IE 8」以降を導入している必要がある。
ブロックリストは、IEの起動中にバックグラウンドで自動的にダウンロードされる。また同社サイト上で確認することも可能。9月10日時点で対象となるのは、「Java SE 8 update 11」「同7 update 65」「同6 update 81」「J 2 SE 5.0 update 71」「同1.4 update 43」。
(Security NEXT - 2014/09/10 )
ツイート
PR
関連記事
「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Cisco IOS XR」にDoSや署名バイパスの脆弱性 - 修正版リリース
「Zoom Workplace」に複数の脆弱性 - 最新版で修正済み
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
Ivantiのエンドポイント管理やリモートアクセス製品に脆弱性
デバッグ支援ツール「NVIDIA NVDebug tool」に複数の脆弱性
ネットワーク監視ツール「Stork」に脆弱性 - DoS攻撃のおそれ
GitLab、バグ報奨金プログラムで報告された脆弱性6件を解消
「Adobe Commerce」「Magento」に深刻な脆弱性 - Adobeと外部で温度差
MS、月例セキュリティ更新80件を公開 - 「緊急」8件などに対応
