編集部からのお知らせ
記事まとめ「サードパーティークッキー問題」公開
記事まとめ読み:GIGAスクール

マイクロソフト、定例外のセキュリティ更新で「IE」の新たなゼロデイ脆弱性に対処

Catalin Cimpanu (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2018-12-20 11:29

 Microsoftは米国時間12月19日、「Internet Explorer」(IE)の脆弱性に対処する定例外のセキュリティアップデートを公開した。この脆弱性は、現在実際に悪用されている。

 Microsoftによると、GoogleのThreat Analysis GroupのClement Lecigne氏がIEに存在するこのゼロデイ脆弱性を発見し、報告したという。

提供:Image via Dell.com
提供:Image via Dell.com

 アップデートパッケージと同時に公開されたセキュリティ勧告によれば、IEのこのゼロデイ脆弱性を突けば、攻撃者はユーザーのコンピュータ上で悪意あるコードを実行できるという。

 「CVE-2018-8653」というIDが付けられたこのゼロデイ脆弱性については、ウェブベースの攻撃シナリオが考えられる。攻撃者が、コンピュータ上で悪意あるコードを実行する悪意あるサイトにユーザーをおびき寄せるのだ。

 この脆弱性は、「Office」スイートのアプリ版のように、IEのスクリプトエンジンを埋め込んでウェブベースのコンテンツをレンダリングするアプリケーションを通じて悪用することも可能だ。

 Microsoftによると、安心材料もあるという。それは、攻撃者に与えられるコード実行権が、被害に遭ったユーザーと同じ権限のものでしかないという点だ。被害者がアクセス権に制限のあるアカウントを使用している場合、被害は単純な操作にとどまる。ただし、これでも被害者のコンピュータにマルウェアを埋め込むには十分かもしれない。

 だが、事情はもう少し複雑だ。この4カ月間に、Microsoftは他のゼロデイ脆弱性4件にパッチをリリースした。これらのゼロデイ脆弱性はいずれも、「特権昇格」を可能にする。

 つまり、被害者が過去4件の月例パッチのどれかを適用していなかった場合、攻撃者はIEのこのゼロデイ脆弱性をこれまでのゼロデイ脆弱性(「CVE-2018-8611」「CVE-2018-8589」「CVE-2018-8453」「CVE-2018-8440」)の1つと併用し、システムレベルのアクセス権を得て、標的にしたコンピュータをすぐに乗っ取ることができる。

 そのため、特にMicrosoftの最近のセキュリティアップデートで、システムを最新の状態に保つことがきわめて重要だ。

 Microsoftは19日、「KB4483187」「KB4483230」「KB4483234」「KB4483235」「KB4483232」「KB4483228」「KB4483229」を公開し、IEのこのゼロデイ脆弱性に対処した。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    最先端のデータサイエンティストでいるための5つのヒント—AIによる高度化でデータの達人であり続ける

  2. ビジネスアプリケーション

    経理部門 554人に聞いた「新しい経理部門の働き方」 その実現に向けた具体的な行動指針を解説

  3. セキュリティ

    パンデミックに乗じたサイバー攻撃に屈しない 最新の脅威分析レポートに見る攻撃パターンと対応策

  4. 運用管理

    DX時代にIBM i は継続利用できるのか? モダナイゼーション実施で考えておくべき5つの視点

  5. セキュリティ

    サイバー攻撃でPCに何が起きている? サイバーディフェンス研究所の名和氏が語るフォレンジックのいま

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]