SQLインジェクション攻撃も発生:MSがIE 7の脆弱性を確認、アドバイザリーを公開
IE 7の脆弱性問題でMicrosoftがアドバイザリーを公開した。SANSによれば、サイトに不正コードを仕掛けるSQLインジェクション攻撃も発生している。
Internet Explorer(IE)7のゼロデイの脆弱性を突いた攻撃が発生している問題で、米Microsoftがこの情報を確認し、12月10日付でアドバイザリーを公開した。
Microsoftのこれまでの調査によると、攻撃はWindows XP SP2/SP3、Windows Server 2003 SP1/SP2、Windows Vista/SP1、Windows Server 2008の各OSで実行されているIE 7を狙って仕掛けられていることが分かったという。
攻撃者は細工を施したWebサイトを開設し、ユーザーをそのサイトにおびき寄せる手口でこの問題を悪用する。正規サイトが改ざんされたり、広告やユーザーがコンテンツを投稿できるサイトが利用される可能性もある。
SANS Internet Storm Centerによれば、実際にSQLインジェクションを使って正規サイトに不正スクリプトを仕込む攻撃が起きていることが判明。この脆弱性を突いた攻撃は増えているようだという。
Microsoftのアドバイザリーでは攻撃を避ける方法として、(1)インターネットのセキュリティゾーンを「高」に設定する、(2)アクティブスクリプトの設定で「ダイアログを表示する」または「無効にする」のオプションを選ぶ、(3)DEPを有効にする――という回避策を紹介。ユーザーがこれらの措置を取っていれば、攻撃は成功しないことが確認されたとしている。
ただしこれらの設定にすると、一部のサイトが適切に機能しなくなるなどの問題も発生する可能性がある。Microsoftは調査を完了後、月例パッチまたは臨時パッチでの脆弱性解決を含め、適切な措置を取るとしている。
関連記事
IE 7にゼロデイの脆弱性、月例パッチでは未解決
Windows XP SP3で動作するIE 7に極めて深刻な脆弱性が確認された。主に中国でWebサイトを介して感染を広げている模様だ。
12月のMS月例パッチ公開、既に一部が悪用も
Microsoftは緊急6件、重要2件のセキュリティ情報を公開。Visual Basicの脆弱性は、問題を悪用した攻撃が既に発生しているという。
関連リンク
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
IT基盤をアウトソースした中堅中小企業たち
「どこでもオフィス」で業務効率アップ!
業務でオープンソースは不安、は過去のこと
1日の処理を1秒にも――MySQLの達人が語る
「設備」「ネットワーク」「マネジメント」
@IT「Windows 7」 特設サイトオープン!
「Windows 7搭載PC」で何が変わったのか?
技術者不在でも「すぐに使える」
トップエンジニア村上氏と上野氏が競演!
「ノートPCの持ち出し禁止」だけで大丈夫?![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
かつての日本の成功体験はもう通じない
@ITメールソリューションLive! in Tokyo
経営層が信頼から企業価値を生むために
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター