未使用でも影響、7月修正の「IEゼロデイ脆弱性」 - 遅くとも5月に悪用

マイクロソフトは、現地時間7月9日に公開した月例セキュリティ更新でブラウザ「Internet Explorer」に関するゼロデイ脆弱性を修正した。最新の「Windows」内部にも残存する「IE」を狙ったもので、「IE」を利用しないユーザーもゼロデイ攻撃の対象になっていた。

5月にマイクロソフトへ同脆弱性を報告したCheck Point Software Technologiesによれば、拡張子が「.url」である「インターネットショートカットファイル」の処理に複数の問題が存在し、ゼロデイ攻撃に悪用されていた。

「Internet Explorer（IE）」は、2022年にサポートが終了し、マイクロソフトでは無効化したが、最新のWindowsにおいても内部に「IE」が存在しており、ゼロデイ攻撃に悪用されていた。

「IE」を利用することがまったくないユーザーにおいても、「インターネットショートカットファイル」をPDFファイルのショートカットファイルなど無害なファイルに見せかけ、開かせることで攻撃者の指定したURLのサイトやファイルを「IE」で開かせることが可能だった。

「mhtml」のプロトコルハンドラやURLスキームの処理に問題があったもので、同様の問題は過去にWordファイルの処理においても判明している。

くわえて「IE」のダイアログでアクセスしたURLにあるHTMLアプリケーションの拡張子「.hta」を隠蔽でき、無害な「PDF」ファイルなどに見せかけることができる脆弱性も存在。「HTMLアプリケーション」の場合は、警告ダイアログが表示されるものの、無視するとマルウェアへ感染するおそれがあった。

（Security NEXT - 2024/07/24 ）ツイート