不正なWebサイトをIE 8で閲覧すると、リモートでコードを実行される恐れがある。米労働省のWebサイトを狙った攻撃にはこの脆弱性が利用されたという。
米MicrosoftのInternet Explorer(IE)8に新たな未解決の脆弱性が見つかった。この脆弱性を突いたゼロデイ攻撃の発生も報告され、Microsoftがセキュリティアドバイザリーを公開して注意を呼び掛けている。
Microsoftが5月3日付で公開したアドバイザリーによると、メモリ内の削除されたオブジェクト、あるいは適切に割り当てられていないオブジェクトへIEがアクセスする方法に脆弱性が存在する。この問題を突いた悪質なWebサイトをIE 8で閲覧すると、リモートでコードを実行される恐れがある。
なお、IE 6、7、9、10はこの脆弱性の影響を受けないという。
Microsoftは、この脆弱性の悪用を試みる攻撃の発生を確認したとしており、現在、脆弱性を修正するための更新プログラムの開発を進めている。当面の対策として、インターネットとローカルイントラネットのセキュリティゾーンを「高」に設定し、ActiveXコントロールとActive Scriptingをブロックするなどの方法を紹介。また、脆弱性の影響を受けないIE 9または10へのアップグレードも奨励している。
一方、セキュリティ企業のFireEyeは3日のブログで、米労働省のWebサイトに不正コードが仕掛けられた攻撃に、今回のIE 8の脆弱性が使われていたことを確認したと報告した。
この脆弱性を悪用するコードはWindows XPのほか、Windows 7上のIE 8でも通用するといい、Windows 7上のIE 8を標的とした攻撃は、ほかにも起きているはずだとFireEyeは警告している。
Copyright © ITmedia, Inc. All Rights Reserved.