脆弱性攻撃で標的となりやすい旧版Javaをブロック - MSがIEを機能強化
日本マイクロソフトは、9月の月例セキュリティ更新プログラムの公開にあわせて、9月10日より「Java ActiveXコントロール」のブロック機能を有効化した。
同機能は、8月に公開された月例セキュリティ更新プログラム「MS14-051」に実装されていたもので、9月10日より有効化した。ドライブバイダウンロード攻撃などで、旧バージョンのJavaに存在する既知の脆弱性が狙われることも多いことから、被害を防止するために対策が追加された。
IEで、ActiveXコントロールを利用するウェブサイトへアクセスすると、Java ActiveXコントロールのバージョンを確認。古いバージョンを利用している場合、通知バーに「Javaが最新ではなく、更新が必要であるためブロックした」との警告を表示する。
通知バーからは、「更新」「今回は実行」「危険性の説明」といった選択肢をユーザーが選択することが可能。「イントラネットゾーン」や「信頼済みサイト」は、同機能の対象外となる。同機能を利用するには、「Windows 7 SP1」や「Windows Server 2008 R2」以降のOSで、「IE 8」以降を導入している必要がある。
ブロックリストは、IEの起動中にバックグラウンドで自動的にダウンロードされる。また同社サイト上で確認することも可能。9月10日時点で対象となるのは、「Java SE 8 update 11」「同7 update 65」「同6 update 81」「J 2 SE 5.0 update 71」「同1.4 update 43」。
(Security NEXT - 2014/09/10 )
ツイート
PR
関連記事
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み
「GitLab」に5件の脆弱性 - 最新パッチで修正
「SonicOS」にリモートよりDoS攻撃を受けるおそれ - 修正版を公開
NVIDIAのAI開発フレームワーク「NeMo」に3件の脆弱性
