logo

マイクロソフト、定例外のセキュリティ更新で「IE」の新たなゼロデイ脆弱性に対処

Catalin Cimpanu (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)2018年12月20日 11時29分
  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間12月19日、「Internet Explorer」(IE)の脆弱性に対処する定例外のセキュリティアップデートを公開した。この脆弱性は、現在実際に悪用されている。

 Microsoftによると、GoogleのThreat Analysis GroupのClement Lecigne氏がIEに存在するこのゼロデイ脆弱性を発見し、報告したという。

提供:Image via Dell.com
提供:Image via Dell.com

 アップデートパッケージと同時に公開されたセキュリティ勧告によれば、IEのこのゼロデイ脆弱性を突けば、攻撃者はユーザーのコンピュータ上で悪意あるコードを実行できるという。

 「CVE-2018-8653」というIDが付けられたこのゼロデイ脆弱性については、ウェブベースの攻撃シナリオが考えられる。攻撃者が、コンピュータ上で悪意あるコードを実行する悪意あるサイトにユーザーをおびき寄せるのだ。

 この脆弱性は、「Office」スイートのアプリ版のように、IEのスクリプトエンジンを埋め込んでウェブベースのコンテンツをレンダリングするアプリケーションを通じて悪用することも可能だ。

 Microsoftによると、安心材料もあるという。それは、攻撃者に与えられるコード実行権が、被害に遭ったユーザーと同じ権限のものでしかないという点だ。被害者がアクセス権に制限のあるアカウントを使用している場合、被害は単純な操作にとどまる。ただし、これでも被害者のコンピュータにマルウェアを埋め込むには十分かもしれない。

 だが、事情はもう少し複雑だ。この4カ月間に、Microsoftは他のゼロデイ脆弱性4件にパッチをリリースした。これらのゼロデイ脆弱性はいずれも、「特権昇格」を可能にする。

 つまり、被害者が過去4件の月例パッチのどれかを適用していなかった場合、攻撃者はIEのこのゼロデイ脆弱性をこれまでのゼロデイ脆弱性(「CVE-2018-8611」「CVE-2018-8589」「CVE-2018-8453」「CVE-2018-8440」)の1つと併用し、システムレベルのアクセス権を得て、標的にしたコンピュータをすぐに乗っ取ることができる。

 そのため、特にMicrosoftの最近のセキュリティアップデートで、システムを最新の状態に保つことがきわめて重要だ。

 Microsoftは19日、「KB4483187」「KB4483230」「KB4483234」「KB4483235」「KB4483232」「KB4483228」「KB4483229」を公開し、IEのこのゼロデイ脆弱性に対処した。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]