マイクロソフト、定例外のセキュリティ更新で「IE」の新たなゼロデイ脆弱性に対処

Catalin Cimpanu (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2018-12-20 11:29

 Microsoftは米国時間12月19日、「Internet Explorer」(IE)の脆弱性に対処する定例外のセキュリティアップデートを公開した。この脆弱性は、現在実際に悪用されている。

 Microsoftによると、GoogleのThreat Analysis GroupのClement Lecigne氏がIEに存在するこのゼロデイ脆弱性を発見し、報告したという。

提供:Image via Dell.com
提供:Image via Dell.com

 アップデートパッケージと同時に公開されたセキュリティ勧告によれば、IEのこのゼロデイ脆弱性を突けば、攻撃者はユーザーのコンピュータ上で悪意あるコードを実行できるという。

 「CVE-2018-8653」というIDが付けられたこのゼロデイ脆弱性については、ウェブベースの攻撃シナリオが考えられる。攻撃者が、コンピュータ上で悪意あるコードを実行する悪意あるサイトにユーザーをおびき寄せるのだ。

 この脆弱性は、「Office」スイートのアプリ版のように、IEのスクリプトエンジンを埋め込んでウェブベースのコンテンツをレンダリングするアプリケーションを通じて悪用することも可能だ。

 Microsoftによると、安心材料もあるという。それは、攻撃者に与えられるコード実行権が、被害に遭ったユーザーと同じ権限のものでしかないという点だ。被害者がアクセス権に制限のあるアカウントを使用している場合、被害は単純な操作にとどまる。ただし、これでも被害者のコンピュータにマルウェアを埋め込むには十分かもしれない。

 だが、事情はもう少し複雑だ。この4カ月間に、Microsoftは他のゼロデイ脆弱性4件にパッチをリリースした。これらのゼロデイ脆弱性はいずれも、「特権昇格」を可能にする。

 つまり、被害者が過去4件の月例パッチのどれかを適用していなかった場合、攻撃者はIEのこのゼロデイ脆弱性をこれまでのゼロデイ脆弱性(「CVE-2018-8611」「CVE-2018-8589」「CVE-2018-8453」「CVE-2018-8440」)の1つと併用し、システムレベルのアクセス権を得て、標的にしたコンピュータをすぐに乗っ取ることができる。

 そのため、特にMicrosoftの最近のセキュリティアップデートで、システムを最新の状態に保つことがきわめて重要だ。

 Microsoftは19日、「KB4483187」「KB4483230」「KB4483234」「KB4483235」「KB4483232」「KB4483228」「KB4483229」を公開し、IEのこのゼロデイ脆弱性に対処した。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]