米MicrosoftのInternet Explorer(IE)で未解決の脆弱性を突く攻撃が発生していたことが分かり、同社は12月19日、定例外のセキュリティ更新プログラムを公開してこの問題に対処した。
Microsoftのセキュリティ情報によると、脆弱性はIEのスクリプティングエンジンでメモリ内のオブジェクトを処理する方法に存在する。この問題を突かれれば、メモリ破損を引き起こして攻撃者に任意のコードを実行される恐れがある。
Webベース攻撃では、電子メールでリンクを送るなどの手口を使って、細工を施したWebサイトをIEで表示させることにより、この問題を悪用することが可能とされる。
更新の対象となるのはIE 9〜10(Windows Server 2008〜2012向け)と、IE 11(Windows 7〜10、Windows Server 2008〜2019向け)の各バージョン。
今回の脆弱性は、Googleの研究者が発見した。詳細は不明だが、この問題を悪用した攻撃が確認されているという。
関連記事
- IEに未解決の脆弱性、APT攻撃に利用 最新バージョンにも影響
脆弱性はIEのエンジンに存在すると思われ、不正なWebページを仕込んだOffice文書を送り付ける手口が使われているという。 - Microsoft、12月の月例更新プログラム公開 IEやWindowsに深刻な脆弱性
今回の更新プログラムでは39件の脆弱性が修正された。IEやWindows、.NET Framework、ChakraCoreなどに、「緊急」の脆弱性が存在する。 - Microsoft、11月の月例セキュリティ更新プログラム公開 既に悪用の脆弱性も
今回修正された脆弱性のうち2件は事前に情報が公開され、1件については既に攻撃が発生している。 - Microsoftの月例更新プログラム公開、IEやWindowsに深刻な脆弱性
IEやEdge、Windows Hyper-Vの脆弱性など12件が「緊急」に指定されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.