5つの緊急問題を修正するIEの累積アップデート 2009年12月11日
5つの緊急問題を修正するIEの累積アップデート(12月)
危険度: 高
2009年12月8日
【概要】
【詳細】 米国時間の12月8日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティアドバイザリは、現バージョンのWindowsで実行しているInternet Explorer (IE)バージョン8.0及びそれ以前のバージョンに見られる新たな脆弱性5件について説明している(Windows 7およびWindows Server 2008も対象)。 5つの脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は大体同じである。その大半は、様々な HTML オブジェクトをIEが処理する方法に関るメモリ破損問題である。悪質なウェブコードを含むウェブページにユーザを誘導すると、攻撃者は脆弱性を悪用しユーザの権限を獲得した上でそのユーザのコンピュータでコードを実行できる。通常、Windowsユーザにはローカル管理者の権限が与えられているがそうした場合、攻撃者は欠陥を悪用することで被害者のコンピュータを完全に操作できるようになる。 数週間前にウォッチガードのウェブサイトに掲載したWatchGuard Wireを通じて連絡済みなので、Wireを読んでいるウォッチガード・ユーザは、このアップデートがゼロデイIE 6およびIE 7の脆弱性を修正することをすでに知っていることだろう。 最近の攻撃者は、よく正規のウェブページをハイジャックし、悪質なコードを使って罠を仕掛けていることに注意しよう。攻撃者はウェブ広告やSQL インジェクション攻撃を通じて罠を仕掛けたりしている。この方法でハイジャックされると、認識のあるサイトや信頼のおけるサイトさえもユーザに危険を及ぼすことがある。 欠陥の技術面について知りたい場合は、マイクロソフトのセキュリティアドバイザリにある「脆弱性の詳細(Vulnerability Information)」の項目を参照することをすすめる。ただ技術面を別にしても、このような IE に関わる欠陥は重要なリスクを提示しているため、できる限り早急に IE パッチをダウンロードしインストールすることをすすめる。
【対策】
このパッチは深刻な問題を修正することができる。状況に適したパッチをできる限り早急にダウンロードし、テストしてから適用することをすすめる。
日本語版をダウンロードするには、「Change Language」のドロップダウン・メニューから「Japanese」を選択:
【ウォッチガード・ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】 マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
【概要】
- 対象:
Windows の現バージョンで使用しているInternet Explorer 8 とそれ以前のバージョン
- 攻撃方法:
悪性のウェブ・ページにユーザを誘導する
- 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行しそのコンピュータを完全に操作できるようになる
- 対策:
状況に適したInternet Explorerのパッチを至急取り入れ対処すること
【詳細】 米国時間の12月8日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティアドバイザリは、現バージョンのWindowsで実行しているInternet Explorer (IE)バージョン8.0及びそれ以前のバージョンに見られる新たな脆弱性5件について説明している(Windows 7およびWindows Server 2008も対象)。 5つの脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は大体同じである。その大半は、様々な HTML オブジェクトをIEが処理する方法に関るメモリ破損問題である。悪質なウェブコードを含むウェブページにユーザを誘導すると、攻撃者は脆弱性を悪用しユーザの権限を獲得した上でそのユーザのコンピュータでコードを実行できる。通常、Windowsユーザにはローカル管理者の権限が与えられているがそうした場合、攻撃者は欠陥を悪用することで被害者のコンピュータを完全に操作できるようになる。 数週間前にウォッチガードのウェブサイトに掲載したWatchGuard Wireを通じて連絡済みなので、Wireを読んでいるウォッチガード・ユーザは、このアップデートがゼロデイIE 6およびIE 7の脆弱性を修正することをすでに知っていることだろう。 最近の攻撃者は、よく正規のウェブページをハイジャックし、悪質なコードを使って罠を仕掛けていることに注意しよう。攻撃者はウェブ広告やSQL インジェクション攻撃を通じて罠を仕掛けたりしている。この方法でハイジャックされると、認識のあるサイトや信頼のおけるサイトさえもユーザに危険を及ぼすことがある。 欠陥の技術面について知りたい場合は、マイクロソフトのセキュリティアドバイザリにある「脆弱性の詳細(Vulnerability Information)」の項目を参照することをすすめる。ただ技術面を別にしても、このような IE に関わる欠陥は重要なリスクを提示しているため、できる限り早急に IE パッチをダウンロードしインストールすることをすすめる。
【対策】
このパッチは深刻な問題を修正することができる。状況に適したパッチをできる限り早急にダウンロードし、テストしてから適用することをすすめる。
日本語版をダウンロードするには、「Change Language」のドロップダウン・メニューから「Japanese」を選択:
- Internet Explorer 5.01
- Internet Explorer 6.0
- Internet Explorer 7.0
- Internet Explorer 8.0
- * 注意:Server Coreインストール・オプションでインストールした
Windows Server 2008 Administrators ではこの欠陥による影響は見られない。
【ウォッチガード・ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】 マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。