6月のIE累積パッチがPwn2Own脆弱性を修正 2009年6月9日
6月のIE累積パッチがPwn2Own脆弱性を修正(その他も含む)
危険度:高
2009年6月9日
【概要】
対象:
Internet Explorer 8とそれ以前のバージョン
攻撃方法:
悪質なウェブページやリンクにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
状況に適したInternet Explorerのパッチを取り入れ早急に対処すること
【詳細】
米国時間の6月9日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティ情報は、Internet Explorer (IE) バージョン8.0やそれ以前のバージョンに見られる新たな脆弱性8件について説明している。
この8つの脆弱性は技術的には異なるが、その主な対象範囲と影響はほぼ同じである。そのうち6つの脆弱性はIEに見られるメモリ破壊の欠陥に関与しており、特定のHTMLオブジェクトが処理される際に誘発される。悪質なウェブページにユーザを誘導した攻撃者は脆弱性のいずれかを悪用し、ユーザの権限を獲得した上でそのユーザのコンピュータでコードを実行する。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者はこのような欠陥を悪用することで被害者のコンピュータを完全に操作できるようになる。
また、その他2つの脆弱性はクロスサイト・スクリプティング(XSS)タイプの攻撃を引き起こす可能性がある。
欠陥の技術面について知りたい場合は、マイクロソフトのセキュリティ情報にある「脆弱性の詳細(Vulnerability Information)」の項目を参照することをすすめる。しかし技術面を別にしても、IEに関わるこの欠陥のリスクは重要レベルだ。実際、IE8に見られる欠陥の1つは、今年開かれたCanSecWest Security ConferenceのPwn2Own コンテストといった公の場で立証されている。同コンテストで、完全にパッチされたWindowsのノートパソコンで脆弱性を悪用し、それを完全に操作できるようにしたリサーチャーは、その賞としてノートパソコンと5千ドルを獲得している。このように危険性を考慮した上でも、IEの累積パッチを至急ダウンロードしインストールすることをすすめる。
【対策】
このパッチは深刻な問題を修正しているため、ユーザの環境に合ったパッチをできる限り早急にダウンロードし、テストしてから使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
ウォッチガード・ユーザ:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。
危険度:高
2009年6月9日
【概要】
対象:
Internet Explorer 8とそれ以前のバージョン
攻撃方法:
悪質なウェブページやリンクにユーザを誘導するなど様々な攻撃方法がある
影響:
最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
状況に適したInternet Explorerのパッチを取り入れ早急に対処すること
【詳細】
米国時間の6月9日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティ情報は、Internet Explorer (IE) バージョン8.0やそれ以前のバージョンに見られる新たな脆弱性8件について説明している。
この8つの脆弱性は技術的には異なるが、その主な対象範囲と影響はほぼ同じである。そのうち6つの脆弱性はIEに見られるメモリ破壊の欠陥に関与しており、特定のHTMLオブジェクトが処理される際に誘発される。悪質なウェブページにユーザを誘導した攻撃者は脆弱性のいずれかを悪用し、ユーザの権限を獲得した上でそのユーザのコンピュータでコードを実行する。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者はこのような欠陥を悪用することで被害者のコンピュータを完全に操作できるようになる。
また、その他2つの脆弱性はクロスサイト・スクリプティング(XSS)タイプの攻撃を引き起こす可能性がある。
欠陥の技術面について知りたい場合は、マイクロソフトのセキュリティ情報にある「脆弱性の詳細(Vulnerability Information)」の項目を参照することをすすめる。しかし技術面を別にしても、IEに関わるこの欠陥のリスクは重要レベルだ。実際、IE8に見られる欠陥の1つは、今年開かれたCanSecWest Security ConferenceのPwn2Own コンテストといった公の場で立証されている。同コンテストで、完全にパッチされたWindowsのノートパソコンで脆弱性を悪用し、それを完全に操作できるようにしたリサーチャーは、その賞としてノートパソコンと5千ドルを獲得している。このように危険性を考慮した上でも、IEの累積パッチを至急ダウンロードしインストールすることをすすめる。
【対策】
このパッチは深刻な問題を修正しているため、ユーザの環境に合ったパッチをできる限り早急にダウンロードし、テストしてから使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
- Internet Explorer 5.1
- Internet Explorer 6.0
- Internet Explorer 7.0
- Internet Explorer 8.0
- * 注意:Server Coreインストール・オプションでインストールしたWindows Server 2008 Administrators に対するこの欠陥の影響はない。
ウォッチガード・ユーザ:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
- マイクロソフトのセキュリティ情報:MS09-019
この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。