MSのActiveX コントロールに脆弱性、IEのゼロデイ攻撃にも使われる

IE 10の未解決の脆弱性を突く攻撃で、新たにXML DOM ActiveX コントロールに存在する未解決の脆弱性も使われていることが分かった。対策は無い状況だ。

[ITmedia]

　Internet Explorer（IE） 10に存在する未解決の脆弱性を悪用した攻撃（ゼロデイ攻撃）に関連して、新たにこの攻撃ではMicrosoftのXML DOM ActiveX コントロールに存在する未解決の脆弱性も悪用されていることが分かった。情報処理推進機構とJPCERT コーディネーションセンターが注意を呼び掛けているものの、対策が無い状況だ。

　両機関によると、この脆弱性はエラーコードからユーザーのマシンに関する情報を盗み見されてしまうもの。細工されたHTMLドキュメントをユーザーに閲覧されることで、攻撃者はエラーコードからローカルドライブの文字やディレクトリ名、ファイル、内部ネットワークのアドレスやWebサイトの存在を確認できてしまう。IE 10に対するゼロデイ攻撃の攻撃コードでこの脆弱性が悪用されているという。

　IE 10に対するゼロデイ攻撃ではIE 9も影響を受ける可能性が指摘され、現状ではIE 11へのアップデートやIE以外のWebブラウザの利用、Microsoftの「Enhanced Mitigation Experience Toolkit（EMET）」の適用によって、攻撃の影響を緩和できるとされる。一方、XML DOM ActiveX コントロールの脆弱性に対して現状では対策が無い状態となっている。