2014年04月29日

「セキュリティー上の不具合が改善されるまで使用を控えるよう勧告」インターネットエクスプローラーに重大な脆弱性

 米マイクロソフト は26日、同社のインターネット閲覧ソフト「インターネット・エクスプローラー(IE)」のアップデートを予定しているとウェブサイトで発表した。セキュリティソフト会社ファイア・アイ が前週末、米企業へのサイバー攻撃を目的にハッカーグループがIEのバグ(不具合)を探していると述べた。バグ修正の対象となるのはIEのバージョン6から11まで。

 基本ソフト(OS)ウィンドウズXPのサポートは4月8日(日本時間9日)に切れており、同OSを利用しているPCは対応されない。世界のPCのうち、いまだに15―25%がウィンドウズXPで動作しているとみられている。(ロイター、2014.4.28)


 米国土安全保障省はこのほど、米マイクロソフトのインターネット閲覧ソフト「インターネット・エクスプローラー(IE)」にハッカー攻撃を受ける可能性があるとして、セキュリティー上の不具合が改善されるまで使用を控えるよう勧告した。ロイター通信が28日報じた。

 対象はIEの6〜11のバージョンで、利用者に対し、代替ソフトの使用を検討するよう求めている。ロイター通信によると、IEの6〜11はデスクトップ型パソコンの多くで使用されているという。(時事通信、2014.4.29)


 米Microsoft(マイクロソフト)は現地時間2014年4月26日、同社のWebブラウザーInternet Explorer(IE) 6〜11に、標的型攻撃に悪用されうる脆弱性があると公表した(米MicrosoftのSecurity Advisory)。米FireEyeは同日、IE 9〜11を対象にした防衛・金融関連組織への標的型攻撃を検知したとブログにポストしている。FireEyeは一連の標的型攻撃を「Operation Clandestine Fox」と名付けた。

 攻撃者が脆弱性を悪用すると、リモートで任意のコードを実行される恐れがある。この脆弱性は、削除済みや適切に割り当てていないメモリーにIEを通じてアクセスし、任意のコードを配置できるというもの。FireEyeが検知した標的型攻撃は、今回発見されたIEの脆弱性とFlashの既知の脆弱性を組み合わせた攻撃だったという。

 現時点でセキュリティーパッチは存在しない。Microsoftは月例のセキュリティー更新プログラムでパッチを配布する予定としている。Microsoftは同社製の脆弱性緩和ツール「EMET」(Enhanced Mitigation Experience Toolkit)の利用や、「VGX.DLL」の無効化を回避策として紹介。FireEyeはFlashプラグインの無効化を推奨している。加えて、「解決方法がリリースされないXPユーザーに対しては、今後もこの脆弱性を利用した標的型攻撃が多く起こることが予想される」(米FireEye)としている。(日本経済新聞、2014.4.29)


 米国土安全保障省が言うんだから指示に従うのが賢明。セキュリティーパッチが配布されるまでは使用しない方がいいと思います。


<参照>
ウィキペディア Internet Explorer
ウィキペディア アメリカ合衆国国土安全保障省
posted by リュウノスケ at 19:10| Comment(0) | TrackBack(0) | ニュース | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック