米MicrosoftのInternet Explorer(IE)に未解決の脆弱性が見つかり、この脆弱性を突く攻撃が発生しているという。同社が9月17日にセキュリティ情報を公開して注意を呼び掛けた。
Microsoftによると、現時点でIE 8と9を標的として「限られた件数の標的型攻撃」が発生しているという。ただ、脆弱性はIE 6〜11までの全バージョンに存在することから、他のバージョンも狙われる恐れがあるとしている。
脆弱性は、削除されたメモリや適切に割り当てられていないメモリ内のオブジェクトにIEがアクセスする方法に存在する。悪用された場合、多数のユーザーが利用する正規のWebサイトを改ざんしたり、ユーザーをだましてメールなどのリンクをクリックさせたりする手口を通じて不正なコンテンツを仕込んだWebサイトを閲覧させ、リモートで任意のコードを実行される恐れがあるという。
Microsoftは当面の対策として、攻撃防止のための設定を適用できる「Fix it」ツールを提供。また、インターネットとローカルイントラネットのセキュリティゾーン設定を「高」に設定する、IEの設定でActive Scriptingを実行される前に警告が表示されるようにする、Active Scriptingを無効にする――などの方法を紹介している。
今後の対応として、調査が完了した時点で月例セキュリティ更新プログラム、または臨時の更新プログラムをリリースして脆弱性を修正する予定。また、セキュリティ企業などMicrosoft Active Protections Program(MAPP)のパートナーにも情報を提供し、各社の製品で攻撃を食い止める対策を支援する。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.