IE 6〜11に未解決のゼロデイ脆弱性、Microsoftがアドバイザリ公開 - ITmedia エンタープライズ

(情報元のブックマーク数

IEの未パッチの脆弱性が発見とのこと。

MicrosoftInternet ExplorerIE)6〜11に未解決の脆弱性が見つかった。Microsoftは4月26日(現地時間)、この脆弱性に関するアドバイザリーを公開し、注意を呼び掛けている。
対象となるのはほぼすべてのWindows OS(Windows 8.1Windows Server 2012 R2などを含む)上のIE。なお、MicrosoftWindows XPのサポートを終了している。
米セキュリティ企業のFireEyeは、この脆弱性を利用した攻撃を確認した。同社が「Operation Clandestine Fox」と名付けたこの攻撃の対象はIE 9〜11という。
脆弱性は、削除されたメモリや適切に割り当てられていないメモリ内のオブジェクトにIEがアクセスする方法に存在する。悪用された場合、多数のユーザーが利用する正規のWebサイトを改ざんしたり、ユーザーをだましてメールなどのリンクをクリックさせたりする手口を通じて不正なコンテンツを仕込んだWebサイトを閲覧させ、リモートで任意のコードを実行される恐れがあるという。
Microsoftは調査が完了した時点で月例または臨時更新プログラムを公開して修正する予定としている。当面の対策としては、Enhanced Mitigation Experience Toolkit(EMET) 4.1およびEMET 5.0 Technical Previewの適用が有効だという。また、IE 10および11の場合、拡張保護モードを有効にすると影響が緩和されるという。

IE 6〜11に未解決のゼロデイ脆弱性、Microsoftがアドバイザリ公開 - ITmedia エンタープライズ

φ(..)メモメモ

Internet Explorer 6から11までの全バージョンに関わる脆弱性の存在をMicrosoftが発表しました。対象OSはWindows 8.1Windows Server 2012などほぼすべてのWindows OSで、当然、2014年4月9日にサポートが終了したWindows XPも含まれていますが、マイクロソフト セキュリティ アドバイザリの適用はありません。

IEに重大な脆弱性、サポート終了のWindows XPは修正パッチの予定なし - GIGAZINE

攻撃に利用されているそうだ。

すべてのバージョンの「Internet Explorer」(IE)に存在する新しいゼロデイ脆弱性が既に攻撃に利用されていることを、Microsoftは米国時間4月27日遅くに認めた。
Microsoftが発表したアドバイザリによると、この脆弱性を悪用するとリモートコード実行が可能になり、「標的を絞った限定的な攻撃」でこの脆弱性が利用されているという。IE6からIE11まで、すべてのバージョンのIEがこの脆弱性の影響を受けるが、脆弱性を25日に最初に報告したセキュリティ企業のFire Eyeによると、現在、攻撃の標的になっているのはIE9とIE10、およびIE11のようだ。
Fire Eyeによれば、これらの攻撃は、これまで知られていなかった「解放済みメモリー使用」(use after free)の脆弱性を利用し、「Windows」の「Data Execution Prevention」(DEP)と「Address Space Layout Randomization」(ASLR)の回避するという。

「Internet Explorer」にゼロデイ脆弱性--攻撃も確認される - CNET Japan

screenshot