忍者ブログ

denchi-pc

マイクロソフト、定例外のセキュリティ更新で「IE」の新たなゼロデイ脆弱性に対処

Microsoftは米国時間12月19日、「Internet Explorer」(IE)の脆弱性に対処する定例外のセキュリティアップデートを公開した。この脆弱性は、現在実際に悪用されている。

 Microsoftによると、GoogleのThreat Analysis GroupのClement Lecigne氏がIEに存在するこのゼロデイ脆弱性を発見し、報告したという。

アップデートパッケージと同時に公開されたセキュリティ勧告によれば、IEのこのゼロデイ脆弱性を突けば、攻撃者はユーザーのコンピュータ上で悪意あるコードを実行できるという。

 「CVE-2018-8653」というIDが付けられたこのゼロデイ脆弱性については、ウェブベースの攻撃シナリオが考えられる。攻撃者が、コンピュータ上で悪意あるコードを実行する悪意あるサイトにユーザーをおびき寄せるのだ。

 この脆弱性は、「Office」スイートのアプリ版のように、IEのスクリプトエンジンを埋め込んでウェブベースのコンテンツをレンダリングするアプリケーションを通じて悪用することも可能だ。

 Microsoftによると、安心材料もあるという。それは、攻撃者に与えられるコード実行権が、被害に遭ったユーザーと同じ権限のものでしかないという点だ。被害者がアクセス権に制限のあるアカウントを使用している場合、被害は単純な操作にとどまる。ただし、これでも被害者のコンピュータにマルウェアを埋め込むには十分かもしれない。

 だが、事情はもう少し複雑だ。この4カ月間に、Microsoftは他のゼロデイ脆弱性4件にパッチをリリースした。これらのゼロデイ脆弱性はいずれも、「特権昇格」を可能にする。

 つまり、被害者が過去4件の月例パッチのどれかを適用していなかった場合、攻撃者はIEのこのゼロデイ脆弱性をこれまでのゼロデイ脆弱性(「CVE-2018-8611」「CVE-2018-8589」「CVE-2018-8453」「CVE-2018-8440」)の1つと併用し、システムレベルのアクセス権を得て、標的にしたコンピュータをすぐに乗っ取ることができる。

 そのため、特にMicrosoftの最近のセキュリティアップデートで、システムを最新の状態に保つことがきわめて重要だ。

 Microsoftは19日、「KB4483187」「KB4483230」「KB4483234」「KB4483235」「KB4483232」「KB4483228」「KB4483229」を公開し、IEのこのゼロデイ脆弱性に対処した。

PR

コメント

プロフィール

HN:
angel
性別:
非公開

カテゴリー

P R