定例外で公開:Googleハッキング欠陥対応のIEアップデート累積パッチ 2010年1月21日
定例外で公開:Googleハッキング欠陥対応のIE アップデート累積パッチ
危険度: 高
2010年1月21日
【概要】
【詳細】
米国時間の1月20日、マイクロソフトの定例外セキュリティアドバイザリは、現バージョンの Windows で実行している Internet Explorer (IE) バージョン8.0や、それ以前のバージョンに見られる新しい脆弱性8件について説明した(Windows 7やWindows Server 2008も対象に入る)。
先日報道されていた、中国の攻撃者達がGoogleのネットワークに侵入できるようにしたと言われている脆弱性など、この脆弱性リストの中には深刻なものも入っている。このグーグルハックの詳細について知りたい場合はウォッチガードのセキュリティ・ブログ、「Wire」で報告した記事を読むことをすすめる(英語)。 この8つの脆弱性は技術的には異なるが、その主な対象範囲と影響はほぼ同じである。その大半は、様々な HTML オブジェクトを IE が処理する方法に関るメモリ破損問題とメモリ構成問題である。悪質なウェブコードを含むウェブページにユーザを誘導すると、攻撃者はいずれかの脆弱性を悪用し、ユーザの権限を獲得した上でそのユーザのコンピュータでコードを実行できる。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者はこのような欠陥を悪用することで被害者のコンピュータを完全に操作できるようになる。
最近の攻撃者は、よく正規のウェブページをハイジャックし悪質なコードを使って罠を仕掛けている点に注意しよう。攻撃者はウェブ広告や SQL インジェクション攻撃を通じて罠を仕掛けたりしている。この方法でハイジャックされると、認識のあるサイトや信頼のおけるサイトさえもユーザに危険を及ぼすことがある。 欠陥の技術面について知りたい場合は、マイクロソフトのセキュリティアドバイザリにある「脆弱性の詳細(Vulnerability Information)」の項目を参照することをすすめる。しかし技術面を別にしても、IEに関わるこの欠陥のリスクは重要レベルだ。特に、一般公開された欠陥はGoogleを攻撃するのに使われたものであり、研究家はこの欠陥の攻撃用コードを公開しているので誰でも使うことができる。こうした理由から、IEの累積パッチを至急ダウンロードしインストールすることをすすめる。
【対策】
このパッチは深刻な問題を修正しているため、状況に適したIEパッチをできる限り早急にダウンロードし、テストしてから導入することをすすめる。
日本語版をダウンロードするには、「Change Language」のドロップダウン・メニューから「Japanese」を選択:
【ウォッチガード・ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 高
2010年1月21日
【概要】
- 対象:
Windows の現バージョンで実行している Internet Explorer 8 とそれ以前のバージョン
- 攻撃方法:
悪性のウェブ・ページにユーザを誘導する
- 影響:
最悪の場合、攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策:
状況に適したInternet Explorerのパッチを至急取り入れ対処すること
【詳細】
米国時間の1月20日、マイクロソフトの定例外セキュリティアドバイザリは、現バージョンの Windows で実行している Internet Explorer (IE) バージョン8.0や、それ以前のバージョンに見られる新しい脆弱性8件について説明した(Windows 7やWindows Server 2008も対象に入る)。
先日報道されていた、中国の攻撃者達がGoogleのネットワークに侵入できるようにしたと言われている脆弱性など、この脆弱性リストの中には深刻なものも入っている。このグーグルハックの詳細について知りたい場合はウォッチガードのセキュリティ・ブログ、「Wire」で報告した記事を読むことをすすめる(英語)。 この8つの脆弱性は技術的には異なるが、その主な対象範囲と影響はほぼ同じである。その大半は、様々な HTML オブジェクトを IE が処理する方法に関るメモリ破損問題とメモリ構成問題である。悪質なウェブコードを含むウェブページにユーザを誘導すると、攻撃者はいずれかの脆弱性を悪用し、ユーザの権限を獲得した上でそのユーザのコンピュータでコードを実行できる。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者はこのような欠陥を悪用することで被害者のコンピュータを完全に操作できるようになる。
最近の攻撃者は、よく正規のウェブページをハイジャックし悪質なコードを使って罠を仕掛けている点に注意しよう。攻撃者はウェブ広告や SQL インジェクション攻撃を通じて罠を仕掛けたりしている。この方法でハイジャックされると、認識のあるサイトや信頼のおけるサイトさえもユーザに危険を及ぼすことがある。 欠陥の技術面について知りたい場合は、マイクロソフトのセキュリティアドバイザリにある「脆弱性の詳細(Vulnerability Information)」の項目を参照することをすすめる。しかし技術面を別にしても、IEに関わるこの欠陥のリスクは重要レベルだ。特に、一般公開された欠陥はGoogleを攻撃するのに使われたものであり、研究家はこの欠陥の攻撃用コードを公開しているので誰でも使うことができる。こうした理由から、IEの累積パッチを至急ダウンロードしインストールすることをすすめる。
【対策】
このパッチは深刻な問題を修正しているため、状況に適したIEパッチをできる限り早急にダウンロードし、テストしてから導入することをすすめる。
日本語版をダウンロードするには、「Change Language」のドロップダウン・メニューから「Japanese」を選択:
- Internet Explorer 5.01
- Internet Explorer 6.0
- Internet Explorer 7.0
- Internet Explorer 8.0
- * 注意:Server Coreインストール・オプションでインストールした
Windows Server 2008 Administrators において、この欠陥による影響はない。
【ウォッチガード・ユーザ】
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【参考資料】
- マイクロソフトのセキュリティアドバイザリ:MS10-002
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。