IE 8に未解決の脆弱性、米労働省サイト狙った攻撃に利用

不正なWebサイトをIE 8で閲覧すると、リモートでコードを実行される恐れがある。米労働省のWebサイトを狙った攻撃にはこの脆弱性が利用されたという。

» 2013年05月07日 07時12分 公開
[鈴木聖子,ITmedia]

 米MicrosoftのInternet Explorer(IE)8に新たな未解決の脆弱性が見つかった。この脆弱性を突いたゼロデイ攻撃の発生も報告され、Microsoftがセキュリティアドバイザリーを公開して注意を呼び掛けている。

 Microsoftが5月3日付で公開したアドバイザリーによると、メモリ内の削除されたオブジェクト、あるいは適切に割り当てられていないオブジェクトへIEがアクセスする方法に脆弱性が存在する。この問題を突いた悪質なWebサイトをIE 8で閲覧すると、リモートでコードを実行される恐れがある。

 なお、IE 6、7、9、10はこの脆弱性の影響を受けないという。

 Microsoftは、この脆弱性の悪用を試みる攻撃の発生を確認したとしており、現在、脆弱性を修正するための更新プログラムの開発を進めている。当面の対策として、インターネットとローカルイントラネットのセキュリティゾーンを「高」に設定し、ActiveXコントロールとActive Scriptingをブロックするなどの方法を紹介。また、脆弱性の影響を受けないIE 9または10へのアップグレードも奨励している。

 一方、セキュリティ企業のFireEyeは3日のブログで、米労働省のWebサイトに不正コードが仕掛けられた攻撃に、今回のIE 8の脆弱性が使われていたことを確認したと報告した。

 この脆弱性を悪用するコードはWindows XPのほか、Windows 7上のIE 8でも通用するといい、Windows 7上のIE 8を標的とした攻撃は、ほかにも起きているはずだとFireEyeは警告している。

関連キーワード

Internet Explorer | 脆弱性 | IE 8 | Microsoft


Copyright © ITmedia, Inc. All Rights Reserved.