脆弱性攻撃で標的となりやすい旧版Javaをブロック - MSがIEを機能強化

日本マイクロソフトは、9月の月例セキュリティ更新プログラムの公開にあわせて、9月10日より「Java ActiveXコントロール」のブロック機能を有効化した。

同機能は、8月に公開された月例セキュリティ更新プログラム「MS14-051」に実装されていたもので、9月10日より有効化した。ドライブバイダウンロード攻撃などで、旧バージョンのJavaに存在する既知の脆弱性が狙われることも多いことから、被害を防止するために対策が追加された。

IEで、ActiveXコントロールを利用するウェブサイトへアクセスすると、Java ActiveXコントロールのバージョンを確認。古いバージョンを利用している場合、通知バーに「Javaが最新ではなく、更新が必要であるためブロックした」との警告を表示する。

通知バーからは、「更新」「今回は実行」「危険性の説明」といった選択肢をユーザーが選択することが可能。「イントラネットゾーン」や「信頼済みサイト」は、同機能の対象外となる。同機能を利用するには、「Windows 7 SP1」や「Windows Server 2008 R2」以降のOSで、「IE 8」以降を導入している必要がある。

ブロックリストは、IEの起動中にバックグラウンドで自動的にダウンロードされる。また同社サイト上で確認することも可能。9月10日時点で対象となるのは、「Java SE 8 update 11」「同7 update 65」「同6 update 81」「J 2 SE 5.0 update 71」「同1.4 update 43」。

（Security NEXT - 2014/09/10 ） ツイート

PR

関連記事

AI連携に用いる「GitLab AI Gateway」に脆弱性 - 早急に更新を
ウェブメール「Roundcube」にセキュリティ更新 - 脆弱性2件に対処
クライアント管理製品「FortiClientEMS」に深刻なSQLi脆弱性
Cisco、アドバイザリ5件を公開 - コラボアプリにDoSやRCE脆弱性
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響
「Chrome」に重要度「高」脆弱性が2件 - アップデートを公開
F5「BIG-IP」製品群に複数脆弱性 - DoSなどのおそれ
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも