Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

MS月例パッチでは相関関係ない「2件」のIEゼロデイ脆弱性を修正 - いずれも日本がターゲットか

「Internet Explorer」における未修正の脆弱性にゼロデイ攻撃が発生していた問題で、マイクロソフトは、10月の月例セキュリティ更新プログラム「MS13-080」にて脆弱性を修正した。これ以外にも、ゼロデイ攻撃の対象となっていた脆弱性が存在し、早急にアップデートすることが求められる。

当初判明していた脆弱性「CVE-2013-3893」は、開放したオブジェクトへのポインタを削除しないために不正なアドレスへアクセスが可能となり、リモートからコード実行が可能となる脆弱性。細工が施されたサイトを閲覧すると、制御を奪われる可能性がある。「Windows 7」で動作する「IE 11」を除き、サポート中であるほぼすべての「Windows」で動作する「IE」が影響を受ける。

今回の脆弱性は、日本国内の組織を対象とした標的型攻撃をラックが確認。同社より報告を受けたマイクロソフトでは、9月17日にセキュリティアドバイザリを公開するとともに「Fix it」をリリース。「EMET」をはじめ、緩和策を実施するようユーザーにアナウンスを行っていた。

その後、脆弱性検証ツール「Metasploit」にモジュールが追加されるなど、より悪用が容易な状態となっており、日本以外にも攻撃が拡大しつつある。

一方「MS13-080」では、「CVE-2013-3893」を含むあわせて10件の脆弱性に対応しているが、そのなかに含まれる「CVE-2013-3897」についても、10月9日の時点で一般的に脆弱性は公開されていないものの、標的型のゼロデイ攻撃による悪用が確認されているという。

同弱性は9月中旬に発見されたもので、攻撃を受けると、細工されたウェブサイトを閲覧することにより、パソコンの制御を奪われる可能性がある。「Windows XP」で動作する「IE 8」のみ影響があり、標的型攻撃は、日本語や韓国語を利用するユーザーを対象としていた。

日本マイクロソフトによれば、現時点で、「CVE-2013-3893」と「CVE-2013-3897」に相関関係は見つかっておらず、2種類の異なる脆弱性に対し、別のゼロデイ攻撃が同時に発生していたことになる。

今回のセキュリティ更新プログラムが、月例更新のタイミングで提供されたことについて、同社チーフセキュリティアドバイザーの高橋正和氏は、「定例外のアップデートはユーザーの負担が大きい。センシティブな問題であり、脆弱性の悪用状況に注視してきたが、品質確保といった点を含め、今回のタイミングが最適だと判断した」と話している。

またセキュリティレスポンスチームのセキュリティプログラムマネージャーである牧田進矢氏によれば、9月にアドバイザリを公表した際、一部から脆弱性に対する問い合わせが寄せられたものの、目立った混乱などはなかった。

(Security NEXT - 2013/10/09 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

MS、10月の月例パッチを公開 - ゼロデイ脆弱性3件に対応
「FortiOS」で複数脆弱性を解消 - 8月に緩和策講じたゼロデイ脆弱性も修正
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
米当局、「Grafana」の既知脆弱性に対する攻撃に注意喚起
「Oracle E-Business Suite」が標的に - 更新や侵害状況の確認を
「Cisco ASA」狙うゼロデイ攻撃、5月に複数政府機関で確認
「Firefox」にアップデート - Chromeゼロデイの類似脆弱性に対処
Wondershareのファイル修復ソフトに脆弱性 - パッチ提供状況は不明
「Chrome」にアップデート - ゼロデイ脆弱性などに対応
「Android」の2025年9月パッチが公開 - ゼロデイ脆弱性2件を解消

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.