コード実行欠陥4つを修正する10月の深刻な IE 累積アップデート 2009年10月13日
コード実行欠陥4つを修正する10月の深刻なIE 累積アップデート
危険度:高
2009年10月13日
【概要】
【詳細】
米国時間の10月13日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティ情報は、現バージョンの Windows で実行している Internet Explorer(IE)バージョン8.0やそれ以前のバージョンに見られる新たな脆弱性4件について説明している。
こうした4つの脆弱性は技術的には異なるが、その主な対象範囲と影響は同じである。その大半は、様々な HTML オブジェクトやデータ・ストリームを IE が処理する方法に関与するメモリ破壊の欠陥だ。悪質なウェブコードを含むウェブページにユーザを誘導すると、攻撃者は脆弱性を悪用してユーザの権限を獲得、そのユーザのコンピュータでコードを実行する。通常、Windows ユーザにはローカル管理者の権限が与えられているが、そうした場合、攻撃者はこのような欠陥を悪用して被害者のコンピュータを完全に操作できるようになる。
そして忘れてはならないのが、最近の攻撃者によく見られる行動として正規のウェブページをハイジャックし悪質なコードを使って罠を仕掛けるというのがある。攻撃者はホストされているウェブ広告やSQL インジェクション攻撃を通じて罠を仕掛けるのだが、この方法でハイジャックされると認識のあるサイトや、信頼のおけるサイトさえもユーザに危険を及ぼすようになる。
欠陥の技術面について知りたい場合は、マイクロソフトのセキュリティ情報にある「脆弱性の詳細(Vulnerability Information)」を参照することをすすめる。技術面を別にしても、このような IE に関わる欠陥は重要なリスクを提示しているため、できる限り早急に IE パッチをダウンロードしインストールすることをすすめる。
【対策】
このパッチは深刻な問題を修正しているため、ユーザの環境に合ったパッチをできる限り早急にダウンロードし、テストしてから使用することをすすめる。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し、「Change」をクリックする:
【ウォッチガード・ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常の HTTP トラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:高
2009年10月13日
【概要】
- 対象:
Windows の現バージョンで実行している Internet Explorer 8 とそれ以前のバージョン - 攻撃方法:
悪質なコードを含むウェブページやリンクにユーザを誘導 - 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行しそのコンピュータを完全に操作できるよう になる - 対策:
状況に適したInternet Explorerのパッチを至急取り入れ、対処すること
【詳細】
米国時間の10月13日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティ情報は、現バージョンの Windows で実行している Internet Explorer(IE)バージョン8.0やそれ以前のバージョンに見られる新たな脆弱性4件について説明している。
こうした4つの脆弱性は技術的には異なるが、その主な対象範囲と影響は同じである。その大半は、様々な HTML オブジェクトやデータ・ストリームを IE が処理する方法に関与するメモリ破壊の欠陥だ。悪質なウェブコードを含むウェブページにユーザを誘導すると、攻撃者は脆弱性を悪用してユーザの権限を獲得、そのユーザのコンピュータでコードを実行する。通常、Windows ユーザにはローカル管理者の権限が与えられているが、そうした場合、攻撃者はこのような欠陥を悪用して被害者のコンピュータを完全に操作できるようになる。
そして忘れてはならないのが、最近の攻撃者によく見られる行動として正規のウェブページをハイジャックし悪質なコードを使って罠を仕掛けるというのがある。攻撃者はホストされているウェブ広告やSQL インジェクション攻撃を通じて罠を仕掛けるのだが、この方法でハイジャックされると認識のあるサイトや、信頼のおけるサイトさえもユーザに危険を及ぼすようになる。
欠陥の技術面について知りたい場合は、マイクロソフトのセキュリティ情報にある「脆弱性の詳細(Vulnerability Information)」を参照することをすすめる。技術面を別にしても、このような IE に関わる欠陥は重要なリスクを提示しているため、できる限り早急に IE パッチをダウンロードしインストールすることをすすめる。
【対策】
このパッチは深刻な問題を修正しているため、ユーザの環境に合ったパッチをできる限り早急にダウンロードし、テストしてから使用することをすすめる。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し、「Change」をクリックする:
- Internet Explorer 5.01
- Internet Explorer 6.0
- Internet Explorer 7.0
- Internet Explorer 8.0
-
* 注意: こうした欠陥は、Server Core インストール・オプションでインストールした
Windows Server 2008 Administrators に対する影響はない。
【ウォッチガード・ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常の HTTP トラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。