ニュース
IEに未解決の脆弱性、APT攻撃に利用 最新バージョンにも影響
脆弱性はIEのエンジンに存在すると思われ、不正なWebページを仕込んだOffice文書を送り付ける手口が使われているという。
米MicrosoftのWebブラウザ「Internet Explorer(IE)」の未解決の脆弱性が、特定の標的を狙って執拗な攻撃を仕掛けるAPT集団によって悪用されているという。米セキュリティ機関SANS Internet Storm Centerが4月23日、中国のセキュリティ企業Qihoo 360 Technologyの報告を引用して伝えた。
それによると、脆弱性はIEのエンジンに存在すると思われ、IEエンジンを使ったアプリケーション経由で悪用される恐れがある。Qihoo 360が検出した攻撃では、不正なWebページを仕込んだOffice文書を送り付ける手口が使われているという。
脆弱性はIEの最新バージョンも影響を受けるといい、悪用されればバックドア型の「トロイの木馬」を設置され、コンピュータを完全に制御される恐れもある。
Qihoo 360は、2018年4月19日にMicrosoftにこの問題を連絡したとしている。
関連記事
- Microsoftが月例セキュリティ更新プログラム公開、60件以上の脆弱性に対処
IEやWindowsの脆弱性など24件が、最大深刻度の「緊急」に指定されている。 - Microsoft Edgeに未解決の脆弱性、Google Project Zeroが詳細を公表
今回の脆弱性を悪用した場合、Edgeのセキュリティ機能「Arbitrary Code Guard」(ACG)をかわすことが可能とされる。危険度は「中程度」。 - Microsoft、3月の月例セキュリティ更新プログラムを公開 75件の脆弱性を修正
ChakraCoreやEdge、Internet Explorer(IE)9〜11になどに存在する深刻な脆弱性が修正された。 - Microsoft、2月の月例セキュリティ更新プログラム公開 計50件の脆弱性を修正
EdgeやOutlookなどに存在する14件の脆弱性を「緊急」に分類。中でもOutlookのメモリ破損の脆弱性では、メールをプレビュー表示しただけで攻撃コードを実行される恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.