12 月の累積IEパッチ、4つの新たな欠陥を修正

危険度：高

2008年12月9日


【概要】

対象：
Internet Explorer 7とそれ以前のバージョン

攻撃方法：
悪性のウェブ・ページやリンクにユーザを誘導する

影響：
最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策：
状況に適したInternet Explorerのパッチを入れ早急に対処すること


【詳細】

米国時間の12月9日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティ情報は、Internet Explorer（IE）のバージョン5.01、6.0、 7.0に見られる脆弱性4件について説明している。これらは技術的には異なるが、その主な特徴は同じである。IEが特定のHTMLオブジェクトやその方法などを適切に処理しないことから、メモリ破壊が生じる。有害なウェブページにユーザを誘導した攻撃者は、メモリ破壊の問題を悪用してコンピュータでコードを実行しユーザの権限を獲得する。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。

今回リリースされたIEパッチは、新たに発表された4件の欠陥を修正する他に、既知の欠陥もすべて修正している。


【対策】

このパッチは深刻な問題を修正しているため、状況に合ったパッチをできる限り早急にダウンロードし、テストしてから適用することをすすめる。

日本語版をダウンロードする場合は、「Change Language」のドロップダウン・メニューから「Japanese」を選択：

• Internet Explorer 5.01
• Internet Explorer 6.0
• マイクロソフトは98、ME、XP SP1のサポートを終了している。
• Windows 2000
• Windows XP
• Windows XP x64
• Windows Server 2003
• Windows Server 2003 x64
• Windows Server 2003 Itanium

• Internet Explorer 7.0
• Windows XP
• Windows XP x64
• Windows Server 2003
• Windows Server 2003 x64
• Windows Server 2003 Itanium
• Windows Vista
• Windows Vista x64
• Windows Server 2008
• Windows Server 2008 x64
• Windows Server 2008 Itanium

ウォッチガード・ユーザ：

この攻撃はユーザがウェブにアクセスできるようにしておくには許可しておく必要がある通常のHTTPトラフィックに見せかけた状態で移動するため、上記のパッチを適用することが主な対策となる。


【ステータス】

マイクロソフトは問題を修正するパッチをリリースしている。


【参考資料】

日本語版：
マイクロソフトのセキュリティ情報：MS08-073


この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP)によって調査されかかれた記事です。