速報
» 2020年01月21日 12時00分 公開

IEの脆弱性を狙ったゼロデイ攻撃が発生中、解決策なく「他のブラウザの使用を」

2020年1月21日現在、Microsoftの更新プログラムはリリースされていない。米国のセキュリティ機関は代替ブラウザの使用を勧告している。

[鈴木聖子,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 MicrosoftのWebブラウザ「Internet Explorer」(IE)に存在する未解決の脆弱(ぜいじゃく)性を突く攻撃の発生が確認された。現時点で脆弱性を解決する方法は存在しない。Microsoftや米国のセキュリティ機関CERT/CCは2020年1月17日に公開したセキュリティ情報の中で、当面の対策を紹介している。

CISA (出典:CISA)

 MicrosoftやCERT/CCのセキュリティ情報によると、スクリプティングエンジンの「JScript」でメモリ内のオブジェクトを処理する方法に脆弱性が存在する。細工を施したWebサイトをユーザーに閲覧させるなどの手口で、攻撃者が任意のコードを実行できる恐れがある。攻撃者が不正なWebサイトへのリンクを電子メールで送り付けたり、PDFやOffice文書に仕込むなどの手口を使って、ユーザーが閲覧するよう仕向ける手口も想定される。

 最大深刻度はMicrosoftの4段階評価で最も高い「緊急」に分類。共通脆弱性評価システム(CVSS)のベーススコアでは7.5(最大値は10.0)と評価されている。

攻撃の発生を確認、セキュリティパッチは2020年2月11日?

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ