IEにパッチ未公開の脆弱性、ゼロデイ攻撃が出現 - ニュース:ITpro(情報元のブックマーク数)
IEの脆弱性が見つかったとのことですが、見る限り11月では修正されてないみたいですね。
マイクロソフトは2010年11月4日、同社のWebブラウザー「Internet Explorer」に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。悪用した攻撃が確認されているという。セキュリティ更新プログラム(修正パッチ)は未公開。
IEにパッチ未公開の脆弱性、ゼロデイ攻撃が出現 | 日経 xTECH(クロステック)
今回明らかにされたのは、データの処理に関する脆弱性。細工が施されたWebサイトにアクセスするだけで、悪質なプログラム(ウイルスなど)を勝手に実行される恐れがある。実際、この脆弱性を悪用した攻撃が確認されている。パッチ未公開の脆弱性を悪用する攻撃なので、いわゆる「ゼロデイ攻撃」である。
MS SecurityBlogでも情報が出ていますね。
日本時間の今朝、Internet Explorer の脆弱性に関する セキュリティ アドバイザリ 2458511 を公開しました。この脆弱性の主な影響は「リモートでのコード実行」で、サポートされるすべてのバージョンの IE が影響を受けます。現在のところ、限定的な攻撃を確認しています。
Internet Explorer の新たな脆弱性を調査中。セキュリティ アドバイザリ 2458511 を公開。 – 日本のセキュリティチーム
セキュリティ更新プログラムを公開する予定ですが、公開までの間、アドバイザリ に記載の回避策を検討してください。回避策にも含まれていますが、Internet Explorer 7 に対して DEP を有効にする (IE8 は既定で有効)、またマイクロソフトが公開した Enhanced Mitigation Experience Toolkit (EMET) を使用して DEP を有効にすることもできます。
