Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【IEゼロデイ】サポート終了「Windows XP」に修正予定ない最初の脆弱性

「Internet Explorer」にリモートからコード実行が可能となる深刻なゼロデイ脆弱性が明らかとなったが、米Symantecは、サポートが終了した「Windows XP」も脆弱性の影響を受けることを明らかにした。「Windows XP」が対象となるゼロデイ攻撃は現状確認されていないが、今後注意が必要だ。

今回明らかとなった「CVE-2014-1776」は、「IE 6」以降すべてのバージョンが影響を受ける脆弱性。細工されたウェブサイトを閲覧するとコードを実行され、端末の制御を奪われるおそれがある。セキュリティ更新プログラムは提供されておらず、Microsoftでは提供の準備に向けて調査を進めている。

米Symantecが、同脆弱性について調査を行ったところ、4月9日にサポートが終了した「Windows XP」上で動作する「Internet Explorer」に関しても影響を受けることを確認したという。

「IE」は、「同6」以降がサポート対象となっているが、これはサポート中のOSに搭載されているものに限られる。サポートが終了したOSに搭載されている「IE」は対象外であり、Symantecでは、「CVE-2014-1776」について「Windows XP」に対して修正プログラムが提供されない最初の脆弱性であると指摘している。

脆弱性に対する標的型攻撃が確認されているが、米FireEyeによれば、現在確認されているゼロデイ攻撃は、「同9」「同10」「同11」を対象としたもの。

「Windows XP」上で動作するのは「同8」までのため、攻撃そのものは「Windows XP」を対象にしていない。しかし脆弱性そのものは存在するため、今後「Windows XP」が攻撃を受けるおそれもあり、予断を許さない状況だ。

(Security NEXT - 2014/04/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

MS、9月の月例パッチで脆弱性129件を修正
8月修正のIE脆弱性、韓企業狙う標的型攻撃で悪用
MS月例パッチが公開、脆弱性120件を修正 - すでに悪用も
MS、7月の月例パッチで脆弱性123件を修正 - 悪用は未確認
MS、6月のセキュリティ更新を公開 - 脆弱性129件に対応
MS、5月の月例セキュリティ更新をリリース - 脆弱性111件を修正
MSが4月の月例パッチ、脆弱性113件を修正 - すでに3件で悪用
Google、「Windows 10」のゼロデイ脆弱性を公開 - セキュリティ機能をバイパス
MS、月例パッチを公開、脆弱性115件に対処 - 悪用未確認
MS、月例パッチで脆弱性99件を解消 - ゼロデイ脆弱性も修正