編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

マイクロソフト、IEのゼロデイ脆弱性に対する回避策を適用する「Fix-it」を公開

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2010-03-16 18:37

 Microsoftは、同社の主力ブラウザInternet Explorerに存在する、未パッチの脆弱性に対するマルウェアの攻撃をブロックする回避策を、1クリックで提供する「Fix-it」の提供を開始した。

 この回避策は、影響を受けるバージョンのInternet Explorerが持つ、バイナリファイルiepeers.dllのピアファクトリクラスを無効にするものだ。

 この回避策は(このページで提供されている)、無料で提供されている貫入テストフレームワークであるMetasploitで、攻撃コードが公にリリースされたのを受けて公開されたものだ。

 Microsoftは、この問題を利用する攻撃コードが入手可能であることを認め、ユーザーに対し、この脆弱性を持たないInternet Explorer 8へのアップグレードを強く推奨している。

 同社はInternet Explorerユーザーに対し、Fix-itで適用される回避策を十分にテストするように勧めている。これは、例えばInternet Explorerからの印刷や、ウェブフォルダの利用など、ピアファクトリクラスに依存する機能が影響を受ける場合があるためだ。

 Microsoftはまた、原因になっているセキュリティホールを修正する、定例外パッチの公開を検討していることを認めた

 われわれは、Microsoftがこの問題に関する定例外のアップデートをリリースするかも知れないという憶測が出回っていることを承知している。われわれは、アップデートの作成のために熱心に作業を進めており、現在テスト段階にあるということはお知らせできる。このプロセスは、サポート対象の全バージョンのWindows上で動作する、すべての影響のあるバージョンのInternet Explorerに対して行う必要があるため、非常に重要で時間のかかるものだ。それに加え、サポート対象の言語のバージョンや、何千ものサードパーティアプリケーションに対してもテストされる必要がある。われわれは、定例外アップデートの可能性を除外することはしない。アップデートを広い範囲に配布できる準備が整ったら、顧客のニーズに基づいて判断を行う予定だ。

 悪意のあるハッカーは、すでにこの脆弱性を悪用した標的型攻撃を開始している。中でももっとも早い時期に行われた攻撃には、脆弱性のあるマシンに対する完全なアクセスを許すバックドアの使用が含まれていた。

 このバックドアは、攻撃者が侵害を受けたシステムで様々な機能を実行できるようにするもので、これにはファイルのアップロードとダウンロード、ファイルの実行、実行されているプロセスの終了が含まれる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]