1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. Internet Explorer(IE)に未修正のゼロディ脆弱性

Internet Explorer(IE)に未修正のゼロディ脆弱性

マイクロソフトは、11月4日、IEに未修正のゼロディ脆弱性が確認されたとしてセキュリティ アドバイザリ(245811)を公開した。スタイルシート(CSS)の処理に欠陥があり、悪意のあるWebページを閲覧しただけで任意のコードが実行されるというものだ。

この脆弱性はIE 8/7/6に存在する。セキュリティ対策企業のシマンテックによれば、ある組織に対して送信された標的型攻撃のメールにおいて、この脆弱性が悪用されたことを確認している。

アドバイザリによれば、IEのデータ実行防止(DEP)を有効にすれば、既知の攻撃プログラムを回避することができるとして推奨している。DEPはIE 8ではデフォルトで有効となっている。

IE 7でDEPを有効にするFix itがサポート技術情報(KB 2458511)にて示されている。また、ユーザー自身が定義したCSSを使うよう設定することで、この欠陥を回避できる。ユーザー定義CSSを使うよう設定するFix itが、KB 2458511にて紹介されている。

現在のところ、この脆弱性に対するセキュリティ更新プログラムは公開されていない。マイクロソフトは引き続き監視を続け、状況が変わり次第、アドバイザリを更新する。また、必要があれば月例のセキュリティ更新などでパッチを公開する可能性があるという。

(セキュリティ アドバイザリ)Internet Explorer の脆弱性により、リモートでコードが実行される(2458511)
Windows XP Service Pack 2、Windows XP Tablet PC Edition 2005、および Windows Server 2003 のデータ実行防止 (DEP) 機能の詳細
(サポート技術情報)Internet Explorer の脆弱性により、リモートでコードが実行される(2458511)
【ゼロディ攻撃】Internet Explorerの未修整の脆弱性狙うトロイの木馬(so-netセキュリティ通信)
IE の新しいゼロディ脆弱性を利用した標的型攻撃(Symantec Connect)

関連キーワード:

Fix it

IE

Internet Explorer

ゼロディ脆弱性

  • 伊藤ガビンの駄洒落のエディット特別講義
  • カテゴリートップへ
  • 日本シーサート協議会とは