トピックス

IE8に新たな脆弱性、ゼロデイ攻撃が出現

パッチの公開は未定、IE 6/7/9/10は影響を受けない

2013/05/09

勝村 幸博=日経パソコン

  • このエントリーをはてなブックマークに追加
米マイクロソフトの情報
米マイクロソフトの情報
[画像のクリックで拡大表示]

 米マイクロソフトは2013年5月3日(米国時間)、Webブラウザー「Internet Explorer 8(IE8)」に新たな脆弱性が見つかったことを明らかにした。この脆弱性を悪用した攻撃が確認されている。セキュリティ更新プログラム(パッチ)は未公開。IE6/7/9/10は影響を受けない

 今回明らかにされたのは、IE8のデータ処理に関する脆弱性。細工が施されたWebサイトにアクセスするだけで、ウイルス(悪質なプログラム)を実行させられる恐れなどがある。

 同社によると、既に今回の脆弱性を悪用した攻撃が確認されている。パッチが公開される前の攻撃なので、いわゆる「ゼロデイ攻撃」だ。セキュリティ企業の英ソフォスなどによると、米労働省のWebサイトが改ざんされ、今回の脆弱性を悪用するようなわなが仕掛けられたとする。

 今回の脆弱性を修正するパッチは未提供。マイクロソフトが推奨する回避策の一つは、IE9やIE10へのバージョンアップ。これらのバージョンには、今回の脆弱性は存在しない。

 そのほか、IEのセキュリティ設定を変更することも回避策として挙げている。具体的には、インターネットおよびローカルイントラネットセキュリテゾーンの設定を「高」に設定し、これらのゾーンでActiveX コントロールおよびアクティブスクリプトをブロックする。これらの実施手順は、同社が公開する情報に記載されている。ただし、この回避策を実施すると、Webページなどを適切に表示できない場合がある。

 同社が無料で提供している「Enhanced Mitigation Experience Toolkit(EMET)」の利用も回避策になる。このツールを利用すれば、脆弱性を悪用された場合でも、悪質なプログラムの実行などを防げる。EMETの利用方法についても、同社が公開する情報に記載されている。

おすすめの記事

    関連プレスリリース

      注目コンテンツ

      ホワイトペーパーランキング(昨日)