サイバーセキュリティの監視機関である米国土安全保障省は4月28日、
米マイクロソフト社製ブラウザ「インターネットエクスプローラー(IE)」で見つかったセキュリティ上の欠陥により、
ハッカーが侵入する可能性があるとしてユーザーらに使用しないよう警告した。
日本でも、独立行政法人 情報処理推進機構(IPA)などは28日、
「この脆弱性を悪用した攻撃が確認されているとの情報がある」として、回避策をとるよう呼びかけた。
マイクロソフトは今後、修正プログラムを提供する予定だが、サポートが終了したウィンドウズXPには対応しない見込み。
土木業界では、国交省や各都道府県のホームページで公開されている「電子入札」「入札情報」のシステムなどは、
IEでの利用を推奨しているところが多く、今後の対応が気になるところです。
では、今回の脆弱性がどのようなものか具体的に確認していきます。
<どのような脆弱性?>
この脆弱性は悪意のある細工がされたコンテンツを開くと、仕掛けられた命令が実行されるもの。
悪用されれば、アプリケーションが異常終了したり、攻撃者にパソコンを制御されたりする可能性があるという。
→Internet Explorer の解放済みメモリ使用 (use-after-free) の脆弱性
<対象製品>
・Internet Explorer 6
・Internet Explorer 7
・Internet Explorer 8
・Internet Explorer 9
・Internet Explorer 10
・Internet Explorer 11
→2014年4月9日にサポートが終了した Internet Explorer 6 も対象となっています。
<対策>
1.脆弱性の解消 - 修正プログラムの適用
・2014.04.30: 現時点、未発表。
・2014.05.02: 修正プログラムの配布開始⇒Internet Explorer 用のセキュリティ更新プログラム (2965111)
2.回避策
Microsoft 社のアドバイザリ(2963983)では 6つの回避策が提示されています。
主な2つを紹介
・Enhanced Mitigation Experience Toolkit (EMET) 4.1 を使用する
・VGX.DLL を無効にする
→この対策を行った場合、今まで利用できたサイトを利用できない場合もある
3. 別のブラウザを使う
同等機能のブラウザは、ほかにもあります。この機会に乗り換えるのも一つ。
Chrome(http://www.google.co.jp/intl/ja/chrome/browser/)
Firefox(http://www.mozilla.jp/firefox/)
|