速報
IEの脆弱性に対処する「非公式パッチ」リリース
IEの脆弱性を狙ったゼロデイ攻撃が既に報告されているが、Microsoftはまだパッチをリリースしていない。そこでセキュリティ企業eEyeが臨時パッチを公開した。
米セキュリティ企業eEye Digital Securityは3月27日、MicrosoftのInternet Explorer(IE)を狙った攻撃に対処する臨時ソフトウェアパッチをリリースした。
このパッチは、先日発見されたIEの「createTextRange()」に関する脆弱性に対処する。Microsoftはこの脆弱性を修正するパッチをまだリリースしていない。この脆弱性を悪用して、ユーザーのマシンに不正なコードをインストールしようとする攻撃が既に報告されている(3月27日の記事参照)。
「ユーザーは(IEの)設定を手動で変更することで防御できるが、すべての組織がそうできるわけではないことは認識している。防御策としてアクティブスクリプトを無効にできない組織は、このパッチをインストールするだけでいい」とeEyeのチーフハッキングオフィサー、マーク・メイフレット氏は述べている。
eEyeのパッチは、今後リリースされるMicrosoftのパッチの代わりになるものではないが、当面の防御策になると同氏は話している。eEyeのパッチは、Microsoftの正式なパッチが適用されたら自動的に削除されるように設計されているという。
このパッチはeEyeのサイトからダウンロードできる。
関連記事
- IEの脆弱性にゼロデイ攻撃、臨時パッチの可能性も
IEの脆弱性を悪用して、Webサイトにアクセスしたユーザーを不正コードに感染させる攻撃が仕掛けられている。これがエスカレートすれば、Microsoftは臨時パッチをリリースするかもしれない。 - IEの脆弱性狙う実証コード出現
- Internet Explorerで未パッチの脆弱性
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.