MSがIE 7の脆弱性を確認、アドバイザリーを公開:SQLインジェクション攻撃も発生
IE 7の脆弱性問題でMicrosoftがアドバイザリーを公開した。SANSによれば、サイトに不正コードを仕掛けるSQLインジェクション攻撃も発生している。
Internet Explorer(IE)7のゼロデイの脆弱性を突いた攻撃が発生している問題で、米Microsoftがこの情報を確認し、12月10日付でアドバイザリーを公開した。
Microsoftのこれまでの調査によると、攻撃はWindows XP SP2/SP3、Windows Server 2003 SP1/SP2、Windows Vista/SP1、Windows Server 2008の各OSで実行されているIE 7を狙って仕掛けられていることが分かったという。
攻撃者は細工を施したWebサイトを開設し、ユーザーをそのサイトにおびき寄せる手口でこの問題を悪用する。正規サイトが改ざんされたり、広告やユーザーがコンテンツを投稿できるサイトが利用される可能性もある。
SANS Internet Storm Centerによれば、実際にSQLインジェクションを使って正規サイトに不正スクリプトを仕込む攻撃が起きていることが判明。この脆弱性を突いた攻撃は増えているようだという。
Microsoftのアドバイザリーでは攻撃を避ける方法として、(1)インターネットのセキュリティゾーンを「高」に設定する、(2)アクティブスクリプトの設定で「ダイアログを表示する」または「無効にする」のオプションを選ぶ、(3)DEPを有効にする――という回避策を紹介。ユーザーがこれらの措置を取っていれば、攻撃は成功しないことが確認されたとしている。
ただしこれらの設定にすると、一部のサイトが適切に機能しなくなるなどの問題も発生する可能性がある。Microsoftは調査を完了後、月例パッチまたは臨時パッチでの脆弱性解決を含め、適切な措置を取るとしている。
関連記事
- IE 7にゼロデイの脆弱性、月例パッチでは未解決
Windows XP SP3で動作するIE 7に極めて深刻な脆弱性が確認された。主に中国でWebサイトを介して感染を広げている模様だ。 - 12月のMS月例パッチ公開、既に一部が悪用も
Microsoftは緊急6件、重要2件のセキュリティ情報を公開。Visual Basicの脆弱性は、問題を悪用した攻撃が既に発生しているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.