is702

Web閲覧に注意、ゼロデイ脆弱性を複数確認

2014/04/30

4月26日、Webサイトを閲覧するブラウザInternet Explorer(IE)バージョン6~11にゼロデイ攻撃(※)を受ける可能性のある脆弱性が確認されています。続く28日にはブラウザ上でAdobe Flash形式の動画などを閲覧するためのソフトAdobe Flash Playerにゼロデイ攻撃(※)を受ける可能性のある脆弱性が確認されています。

※ゼロデイ攻撃とは、提供元からの修正プログラムが存在しない状態で、OSやソフトウェアのセキュリティ上の欠陥(脆弱性)が悪用される攻撃です。

1つ目のIEのゼロデイ脆弱性は、この脆弱性を利用した攻撃が仕込まれたWebサイトをユーザがIEを使って閲覧すること、または電子メールなどで送付されてきた脆弱性攻撃するファイルを開くことによって影響を受けます。該当の脆弱性が利用されると、最悪の場合、攻撃者が被害者の PC を遠隔操作することが可能になります。

実際の攻撃は、IE 9 から IE 11 までの 3バージョンにのみ確認されていますが、根本的な不具合は、現在使われている全ての IE のバージョン(IE 6 から IE 11)に存在しています。このため、既にサポート終了を迎えたWindows XPにも影響するとのことです。

マイクロソフトはこの問題に対し現在いくつかの回避策をマイクロソフト セキュリティ アドバイザリ 2963983にて提言しています。
IE 10 および IE 11のみの機能ですが、「拡張保護モード」を有効にすることが最も簡単な方法です。加えてこの攻撃にはAdobe Flash が必要なため、Adobe Flash Player を無効にするか、IE からAdobe Flash Player を削除することでも、この脆弱性の影響を軽減させることができます。

2つ目のAdobe Flash Playerに存在するゼロデイ脆弱性でも、この脆弱性を悪用された場合に攻撃者が被害者のPCを遠隔操作できる可能性が指摘されています。この脆弱性の影響を受けるAdobe製品のバージョンは以下の通りです。

•Windows版の Adobe Flash Player 13.0.0.182 およびそれ以前のバージョン
•Mac版の Adobe Flash Player 13.0.0.201 およびそれ以前のバージョン
•Linux版の Adobe Flash Player 11.2.202.350 およびそれ以前のバージョン

自身のPCにインストールされているAdobe Flash Playerのバージョンは、Adobe Flash Playerの公式サイトを訪問するとサイト画面上で確認できます。公式サイトを訪れ、速やかに更新プログラムを適用してください。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ