 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
IE7にパッチ未提供の脆弱性、MSがセキュリティアドバイザリを公開 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトは11日、Internet Explorer 7(IE7)に影響のあるパッチ未公開の脆弱性が発見されたとして、セキュリティアドバイザリ(961051)を公表した。 この脆弱性は、Windows Vista/XPおよびWindows Server 2008/2003で動作するIE7に影響があり、それぞれのOSで修正パッチやサービスパックを適用した最新の状態でも影響を受ける。また、12月の月例パッチとしてIE用の修正パッチ「MS08-073」が公開されたばかりだが、MS08-073でもこの問題は修正されていない。 セキュリティベンダー各社は、この脆弱性を悪用した攻撃が既に発生していると報告している。米SANS Instituteによると、この脆弱性はXMLパーサーに存在する典型的なヒープオーバーフローによるもので、悪意のあるWebページをIE7で閲覧した場合に、任意のコードを実行させられる危険があるという。また、調査グループ「Shadowserver Foundation」によれば、既に中国のサイトでこの脆弱性を悪用した攻撃が行われていることが確認されたとしている。 ウイルス対策ソフトでも対応が進められており、トレンドマイクロでは「JS_DLOAD.MD」、マカフィーでは「Downloader-AZN」、シマンテックでは「Bloodhound.Exploit.219」といった名称で攻撃の検出に対応している。 マイクロソフトでは、現在この脆弱性に関して調査を行っており、調査が完了次第、セキュリティ更新プログラムの提供など適切な措置を講じるとしている。また、セキュリティアドバイザリでは攻撃の回避策として、インターネットセキュリティゾーンの設定を変更してActiveXコントロールやスクリプトが実行される前にダイアログが表示されるようにする方法や、IE7のデータ実行防止(DEP)機能をオンにする方法を紹介している。 関連情報 ■URL マイクロソフト セキュリティアドバイザリ(961051) http://www.microsoft.com/japan/technet/security/advisory/961051.mspx SANSによるセキュリティ情報(英文) http://isc.sans.org/diary.html?storyid=5458 トレンドマイクロセキュリティブログの該当記事 http://blog.trendmicro.co.jp/archives/2303
( 三柳英樹 )
- ページの先頭へ-
|
