ニュース
» 2014年02月18日 15時04分 UPDATE

MSのActiveX コントロールに脆弱性、IEのゼロデイ攻撃にも使われる

IE 10の未解決の脆弱性を突く攻撃で、新たにXML DOM ActiveX コントロールに存在する未解決の脆弱性も使われていることが分かった。対策は無い状況だ。

[ITmedia]

 Internet Explorer(IE) 10に存在する未解決の脆弱性を悪用した攻撃(ゼロデイ攻撃)に関連して、新たにこの攻撃ではMicrosoftのXML DOM ActiveX コントロールに存在する未解決の脆弱性も悪用されていることが分かった。情報処理推進機構とJPCERT コーディネーションセンターが注意を呼び掛けているものの、対策が無い状況だ。

 両機関によると、この脆弱性はエラーコードからユーザーのマシンに関する情報を盗み見されてしまうもの。細工されたHTMLドキュメントをユーザーに閲覧されることで、攻撃者はエラーコードからローカルドライブの文字やディレクトリ名、ファイル、内部ネットワークのアドレスやWebサイトの存在を確認できてしまう。IE 10に対するゼロデイ攻撃の攻撃コードでこの脆弱性が悪用されているという。

 IE 10に対するゼロデイ攻撃ではIE 9も影響を受ける可能性が指摘され、現状ではIE 11へのアップデートやIE以外のWebブラウザの利用、Microsoftの「Enhanced Mitigation Experience Toolkit(EMET)」の適用によって、攻撃の影響を緩和できるとされる。一方、XML DOM ActiveX コントロールの脆弱性に対して現状では対策が無い状態となっている。

関連キーワード

脆弱性 | ActiveX | Microsoft | ゼロデイ攻撃


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -