1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. Internet Explorer(IE)8にゼロディ脆弱性が確認される

Internet Explorer(IE)8にゼロディ脆弱性が確認される

Internet Explorer(IE)8にゼロディ脆弱性が確認される米ヒューレット・パッカード社のセキュリティ研究組織(「Zero Day Initiative」)は、5月21日、マイクロソフト社のWebブラウザー「Internet Explorer」(IE) 8に未修正の脆弱性が確認されたとして注意喚起した。

これによると、脆弱性は、IE8のレンダリングエンジン(HTMLや画像などのデータを読み込んで、実際に画面に表示するためのプログラム)に存在するもので、解放したメモリを使用してしまうという問題だ(「use after free」脆弱性と呼ばれる)。脆弱性が悪用された場合、細工されたWebページを閲覧するだけでウイルスに感染し、ユーザーのパソコンを外部から攻撃者に乗っ取られてしまう可能性がある。

今のところ、この脆弱性を悪用した攻撃は確認されていないものの、マイクロソフト社から修正プログラムが公開されていないため、ゼロディ攻撃への悪用が懸念されている。

なお、修正プログラムが公開されるまでの間、ユーザーは以下の回避策を行うことで、この脆弱性の影響を軽減することが可能だ。

(1)脆弱性の影響を受けないブラウザーへの移行
この脆弱性の影響のないIE 9/10/11にバージョンアップしたり、IE以外のブラウザーに一時切り替えたりする。
(2)Enhanced Mitigation Experience Toolkit(EMET)の適用
マイクロソフト社が提供する脆弱性緩和ツール「EMET」を適用する。
(3)インターネットゾーンのセキュリティレベルを「高」に設定
IEのインターネットオプションで「インターネット」ゾーンのセキュリティ設定を「高」に設定すると、IEのActive X コントロールおよびアクティブスクリプトが無効になり、攻撃を回避できる。

・(英文)Zero Day Initiativeによる注意喚起
Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性(JVNVU#97953185)
IEに新たな未解決の脆弱性、セキュリティ機関が公表(ITmedia)
IE8に未修正の脆弱性、Zero Day Initiativeが情報を公開(INTERNET Watch)
IE8に未修正の脆弱性、ZDIがアドバイザリー公開(セキュリティ通信:So-netブログ)

関連キーワード:

EMET

Internet Explorer 8

ゼロディ脆弱性

  • IPAが標的型攻撃対策の新組織「サイバーレスキュー隊(仮称)」発足を発表
  • カテゴリートップへ
  • OpenID Connectとは