IE 8に未解決の脆弱性、米労働省サイト狙った攻撃に利用

[鈴木聖子，ITmedia]

　米MicrosoftのInternet Explorer（IE）8に新たな未解決の脆弱性が見つかった。この脆弱性を突いたゼロデイ攻撃の発生も報告され、Microsoftがセキュリティアドバイザリーを公開して注意を呼び掛けている。

　Microsoftが5月3日付で公開したアドバイザリーによると、メモリ内の削除されたオブジェクト、あるいは適切に割り当てられていないオブジェクトへIEがアクセスする方法に脆弱性が存在する。この問題を突いた悪質なWebサイトをIE 8で閲覧すると、リモートでコードを実行される恐れがある。

　なお、IE 6、7、9、10はこの脆弱性の影響を受けないという。

　Microsoftは、この脆弱性の悪用を試みる攻撃の発生を確認したとしており、現在、脆弱性を修正するための更新プログラムの開発を進めている。当面の対策として、インターネットとローカルイントラネットのセキュリティゾーンを「高」に設定し、ActiveXコントロールとActive Scriptingをブロックするなどの方法を紹介。また、脆弱性の影響を受けないIE 9または10へのアップグレードも奨励している。

　一方、セキュリティ企業のFireEyeは3日のブログで、米労働省のWebサイトに不正コードが仕掛けられた攻撃に、今回のIE 8の脆弱性が使われていたことを確認したと報告した。

　この脆弱性を悪用するコードはWindows XPのほか、Windows 7上のIE 8でも通用するといい、Windows 7上のIE 8を標的とした攻撃は、ほかにも起きているはずだとFireEyeは警告している。