ニュース
» 2008年12月12日 08時19分 UPDATE

SQLインジェクション攻撃も発生:MSがIE 7の脆弱性を確認、アドバイザリーを公開

IE 7の脆弱性問題でMicrosoftがアドバイザリーを公開した。SANSによれば、サイトに不正コードを仕掛けるSQLインジェクション攻撃も発生している。

[ITmedia]

 Internet Explorer(IE)7のゼロデイの脆弱性を突いた攻撃が発生している問題で、米Microsoftがこの情報を確認し、12月10日付でアドバイザリーを公開した。

 Microsoftのこれまでの調査によると、攻撃はWindows XP SP2/SP3、Windows Server 2003 SP1/SP2、Windows Vista/SP1、Windows Server 2008の各OSで実行されているIE 7を狙って仕掛けられていることが分かったという。

 攻撃者は細工を施したWebサイトを開設し、ユーザーをそのサイトにおびき寄せる手口でこの問題を悪用する。正規サイトが改ざんされたり、広告やユーザーがコンテンツを投稿できるサイトが利用される可能性もある。

 SANS Internet Storm Centerによれば、実際にSQLインジェクションを使って正規サイトに不正スクリプトを仕込む攻撃が起きていることが判明。この脆弱性を突いた攻撃は増えているようだという。

 Microsoftのアドバイザリーでは攻撃を避ける方法として、(1)インターネットのセキュリティゾーンを「高」に設定する、(2)アクティブスクリプトの設定で「ダイアログを表示する」または「無効にする」のオプションを選ぶ、(3)DEPを有効にする――という回避策を紹介。ユーザーがこれらの措置を取っていれば、攻撃は成功しないことが確認されたとしている。

 ただしこれらの設定にすると、一部のサイトが適切に機能しなくなるなどの問題も発生する可能性がある。Microsoftは調査を完了後、月例パッチまたは臨時パッチでの脆弱性解決を含め、適切な措置を取るとしている。

過去のセキュリティニュース一覧はこちら

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ