Microsoftは米国時間12月19日、「Internet Explorer」(IE)の脆弱性に対処する定例外のセキュリティアップデートを公開した。この脆弱性は、現在実際に悪用されている。
Microsoftによると、GoogleのThreat Analysis GroupのClement Lecigne氏がIEに存在するこのゼロデイ脆弱性を発見し、報告したという。
提供:Image via Dell.com
アップデートパッケージと同時に公開されたセキュリティ勧告によれば、IEのこのゼロデイ脆弱性を突けば、攻撃者はユーザーのコンピュータ上で悪意あるコードを実行できるという。
「CVE-2018-8653」というIDが付けられたこのゼロデイ脆弱性については、ウェブベースの攻撃シナリオが考えられる。攻撃者が、コンピュータ上で悪意あるコードを実行する悪意あるサイトにユーザーをおびき寄せるのだ。
この脆弱性は、「Office」スイートのアプリ版のように、IEのスクリプトエンジンを埋め込んでウェブベースのコンテンツをレンダリングするアプリケーションを通じて悪用することも可能だ。
Microsoftによると、安心材料もあるという。それは、攻撃者に与えられるコード実行権が、被害に遭ったユーザーと同じ権限のものでしかないという点だ。被害者がアクセス権に制限のあるアカウントを使用している場合、被害は単純な操作にとどまる。ただし、これでも被害者のコンピュータにマルウェアを埋め込むには十分かもしれない。
だが、事情はもう少し複雑だ。この4カ月間に、Microsoftは他のゼロデイ脆弱性4件にパッチをリリースした。これらのゼロデイ脆弱性はいずれも、「特権昇格」を可能にする。
つまり、被害者が過去4件の月例パッチのどれかを適用していなかった場合、攻撃者はIEのこのゼロデイ脆弱性をこれまでのゼロデイ脆弱性(「CVE-2018-8611」「CVE-2018-8589」「CVE-2018-8453」「CVE-2018-8440」)の1つと併用し、システムレベルのアクセス権を得て、標的にしたコンピュータをすぐに乗っ取ることができる。
そのため、特にMicrosoftの最近のセキュリティアップデートで、システムを最新の状態に保つことがきわめて重要だ。
Microsoftは19日、「KB4483187」「KB4483230」「KB4483234」「KB4483235」「KB4483232」「KB4483228」「KB4483229」を公開し、IEのこのゼロデイ脆弱性に対処した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
