MS、IE向けに緊急定例外アップデート - ゼロデイ攻撃が発生
マイクロソフトは、「Internet Explorer」においてリモートよりコードの実行が可能となる脆弱性に対し、急遽セキュリティアップデートを実施した。すでにゼロデイ攻撃が確認されているという。
急遽対処した「CVE-2018-8653」(画像:MS)
スクリプトエンジンにおいてメモリ破壊が生じる脆弱性「CVE-2018-8653」へ対処したもの。
細工されたウェブページを閲覧すると、リモートよりコードが実行されるおそれがある。すでに脆弱性の悪用が確認されているという。
同社では、スクリプトエンジンにおけるオブジェクトの処理方法を変更することで脆弱性へ対処したセキュリティ更新プログラムを急遽リリース。自動更新により適用されるとしている。あわせて問題がある「jscript.dll」へのアクセスを制限し、「IE 11」「同10」「同9」において脆弱性の影響を受けない「Jscript9.dll」のみを使用する回避策を案内した。
今回のアップデートに関するオフラインスキャンファイル「Wsusscn2.cab」の提供は1月となる予定。セキュリティ更新を適用するには、12月の同ファイルをダウンロードし、「Microsoft Updateカタログ」から手動でダウンロードした更新プログラムを展開する必要がある。
また今回のセキュリティ更新プログラム用の「Windows 10 Delta」パッケージは用意しておらず、2019年1月にフルパッケージを使用する必要があるとしている。
(Security NEXT - 2018/12/20 )
ツイート
PR
関連記事
「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消
「HTTP/2」実装に「MadeYouReset」脆弱性 - DoS攻撃のおそれ
「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外アドバイザリ
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起
Palo Alto、セキュリティアドバイザリ6件を公開
「Spring Framework」に脆弱性 - アップデートで修正
LLMキャッシュ管理ツールにRCE脆弱性 - キャッシュ汚染に起因
プリント管理ソフト「Xerox FreeFlow Core」に深刻な脆弱性
「Amazon EMR」に深刻な脆弱性 - 資格情報漏洩のおそれ
