IEの累積パッチが深刻な問題6件を修正 2008年10月14日
IEの累積パッチが深刻な問題6件を修正
危険度:高
2008年10月14日
【概要】
対象:
Internet Explorer 7とそれ以前のバージョン
攻撃方法:
悪性のウェブ・ページやリンクにユーザを誘導する
影響:
最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、完全に操作できるようになる
対策:
状況に適したInternet Explorer用のパッチを適用して早急に対処すること
【詳細】
米国時間の10月14日、マイクロソフトが毎月リリースするパッチ提供日に公表されたセキュリティ情報は、 Internet Explorer(IE)のバージョン5.01、6.0、 7.0に見られる脆弱性6件について説明している。中でも悪質な2件はメモリ破壊問題に関与している。これらは技術的には異なるが、その行動範囲と影響力は同じである。有害なウェブページにユーザを誘導した攻撃者は、メモリ破壊の問題を悪用してコンピュータでコードを実行し、ユーザの権限を獲得する。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。
また、マイクロソフトはその他4件の脆弱性について「クロスドメイン情報開示」の問題と説明している。大方のウェブ・ブラウザーには同一生成元ポリシー、つまり生成元のホストへのみアクセスできるようにするセキュリティ対策が定められている。このポリシーは、ウェブサイトが他のウェブサイトのコンテンツにアクセスできないようにすることを支援する。このセキュリティ対策はクロスサイト・スクリプティング(XSS)攻撃など、クロスサイトやクロスドメイン攻撃全体から保護するものだが、IEは同一生成元ポリシーを攻撃者が迂回できるようにするクロスドメイン情報開示欠陥の影響を受けている。技術的には異なるものの、攻撃者は細工したリンクをユーザがクリックするように誘導することで脆弱性を悪用し、正当なサイトでスクリプトを実行するなど、同じ方法で4つの欠陥をすべて利用できる。また、攻撃者はこれを利用して正当なサイトのデータを読み取ることができる。例えば、ユーザが機密データを保管する安全なウェブサイトを訪れた場合、攻撃者はこの欠陥を利用してその機密データを盗む可能性がある。
今回リリースされたIEパッチは、新たに発表された6件の欠陥を修正する他に、既知の欠陥もすべて修正している。
【対策】
こうしたパッチは深刻な問題を修正しているため、状況に適したパッチをできる限り早急にダウンロードし、テストしてから適用することをすすめる。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックすること。
ウォッチガード・ユーザ:
このような攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザがウェブにアクセスできるようにしておくにはHTTPトラフィックを許可しておく必要があるため、対応パッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトはこれらの問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS08-058
マイクロソフトのセキュリティ情報:一覧
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。
危険度:高
2008年10月14日
【概要】
対象:
Internet Explorer 7とそれ以前のバージョン
攻撃方法:
悪性のウェブ・ページやリンクにユーザを誘導する
影響:
最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、完全に操作できるようになる
対策:
状況に適したInternet Explorer用のパッチを適用して早急に対処すること
【詳細】
米国時間の10月14日、マイクロソフトが毎月リリースするパッチ提供日に公表されたセキュリティ情報は、 Internet Explorer(IE)のバージョン5.01、6.0、 7.0に見られる脆弱性6件について説明している。中でも悪質な2件はメモリ破壊問題に関与している。これらは技術的には異なるが、その行動範囲と影響力は同じである。有害なウェブページにユーザを誘導した攻撃者は、メモリ破壊の問題を悪用してコンピュータでコードを実行し、ユーザの権限を獲得する。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。
また、マイクロソフトはその他4件の脆弱性について「クロスドメイン情報開示」の問題と説明している。大方のウェブ・ブラウザーには同一生成元ポリシー、つまり生成元のホストへのみアクセスできるようにするセキュリティ対策が定められている。このポリシーは、ウェブサイトが他のウェブサイトのコンテンツにアクセスできないようにすることを支援する。このセキュリティ対策はクロスサイト・スクリプティング(XSS)攻撃など、クロスサイトやクロスドメイン攻撃全体から保護するものだが、IEは同一生成元ポリシーを攻撃者が迂回できるようにするクロスドメイン情報開示欠陥の影響を受けている。技術的には異なるものの、攻撃者は細工したリンクをユーザがクリックするように誘導することで脆弱性を悪用し、正当なサイトでスクリプトを実行するなど、同じ方法で4つの欠陥をすべて利用できる。また、攻撃者はこれを利用して正当なサイトのデータを読み取ることができる。例えば、ユーザが機密データを保管する安全なウェブサイトを訪れた場合、攻撃者はこの欠陥を利用してその機密データを盗む可能性がある。
今回リリースされたIEパッチは、新たに発表された6件の欠陥を修正する他に、既知の欠陥もすべて修正している。
【対策】
こうしたパッチは深刻な問題を修正しているため、状況に適したパッチをできる限り早急にダウンロードし、テストしてから適用することをすすめる。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックすること。
- Internet Explorer 5.01
- Internet Explorer 6.0
- マイクロソフトは98、ME、XP SP1のサポートを終了している。
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Internet Explorer 7.0
ウォッチガード・ユーザ:
このような攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザがウェブにアクセスできるようにしておくにはHTTPトラフィックを許可しておく必要があるため、対応パッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトはこれらの問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS08-058
マイクロソフトのセキュリティ情報:一覧
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。