Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

MS月例パッチでは相関関係ない「2件」のIEゼロデイ脆弱性を修正 - いずれも日本がターゲットか

「Internet Explorer」における未修正の脆弱性にゼロデイ攻撃が発生していた問題で、マイクロソフトは、10月の月例セキュリティ更新プログラム「MS13-080」にて脆弱性を修正した。これ以外にも、ゼロデイ攻撃の対象となっていた脆弱性が存在し、早急にアップデートすることが求められる。

当初判明していた脆弱性「CVE-2013-3893」は、開放したオブジェクトへのポインタを削除しないために不正なアドレスへアクセスが可能となり、リモートからコード実行が可能となる脆弱性。細工が施されたサイトを閲覧すると、制御を奪われる可能性がある。「Windows 7」で動作する「IE 11」を除き、サポート中であるほぼすべての「Windows」で動作する「IE」が影響を受ける。

今回の脆弱性は、日本国内の組織を対象とした標的型攻撃をラックが確認。同社より報告を受けたマイクロソフトでは、9月17日にセキュリティアドバイザリを公開するとともに「Fix it」をリリース。「EMET」をはじめ、緩和策を実施するようユーザーにアナウンスを行っていた。

その後、脆弱性検証ツール「Metasploit」にモジュールが追加されるなど、より悪用が容易な状態となっており、日本以外にも攻撃が拡大しつつある。

一方「MS13-080」では、「CVE-2013-3893」を含むあわせて10件の脆弱性に対応しているが、そのなかに含まれる「CVE-2013-3897」についても、10月9日の時点で一般的に脆弱性は公開されていないものの、標的型のゼロデイ攻撃による悪用が確認されているという。

同弱性は9月中旬に発見されたもので、攻撃を受けると、細工されたウェブサイトを閲覧することにより、パソコンの制御を奪われる可能性がある。「Windows XP」で動作する「IE 8」のみ影響があり、標的型攻撃は、日本語や韓国語を利用するユーザーを対象としていた。

日本マイクロソフトによれば、現時点で、「CVE-2013-3893」と「CVE-2013-3897」に相関関係は見つかっておらず、2種類の異なる脆弱性に対し、別のゼロデイ攻撃が同時に発生していたことになる。

今回のセキュリティ更新プログラムが、月例更新のタイミングで提供されたことについて、同社チーフセキュリティアドバイザーの高橋正和氏は、「定例外のアップデートはユーザーの負担が大きい。センシティブな問題であり、脆弱性の悪用状況に注視してきたが、品質確保といった点を含め、今回のタイミングが最適だと判断した」と話している。

またセキュリティレスポンスチームのセキュリティプログラムマネージャーである牧田進矢氏によれば、9月にアドバイザリを公表した際、一部から脆弱性に対する問い合わせが寄せられたものの、目立った混乱などはなかった。

(Security NEXT - 2013/10/09 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
米政府、WindowsやApple複数製品の脆弱性悪用に注意喚起
あらたなIvanti脆弱性 - パッチ分析で特定し、3月中旬より攻撃展開か
Apple、旧スマート端末向けにアップデート - ゼロデイ脆弱性に対応
「Firefox」にアップデート - Chromeゼロデイの類似脆弱性に対処
「Microsoft Edge」にアップデート - ゼロデイ脆弱性を解消
「Chromium」ベースのブラウザ利用者はアップデート情報へ注意を
APTグループが「Chrome」ゼロデイ脆弱性を悪用 - リンク経由で感染
「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府
「Junos OS」に定例外アップデート - ゼロデイ脆弱性を修正

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.