『ゼロデイ攻撃』とは、脆弱性が発見されて修正プログラムが提供される日を『One day』とし、その脆弱性の対策が施される前に行われる『サイバー攻撃』のことを意味しています。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
Microsoft(マイクロソフト)は先週末、同社の提供するブラウザ『Internet Explorer(IE)』の『ゼロデイ脆弱性』を公開し、既に悪用されていることも公開しています。
今日はそれをお伝えします。
IEにゼロデイ脆弱性で既に悪用を確認
Microsoft(マイクロソフト)によると、今回見つかった脆弱性は第三者がユーザーを悪意のあるサイトへ接続させたり、加工済みのOffice文書などを実行させたりする攻撃が行われる可能性があるとしています。
これを受けてJPCERT/CC(JPCERTコーディネーションセンター)などでは、対策や回避策を適用するまでは不審なサイトへの接続やファイルの実行を控える様に注意喚起を促しています。
<対象の製品とバージョン>
・Microsoft Internet Explorer 9
・Microsoft Internet Explorer 10
・Microsoft Internet Explorer 11
<対策>
・後術の回避策を実施するか、別のブラウザを使用する
<回避策>
・『jscript.dll』へのアクセス権限を制限することで影響を回避可能
※ IE11、IE10、IE9 は、本脆弱性の影響を受けない jscript9.dll がデフォルトで使用されているが、古いバージョンの JScript をサポートするために jscript.dllが提供されており、回避策を実施することで、jscript.dll の使用を制限すると、古いバージョンの JScript を使用する Web サイトや文書ファイルの閲覧に影響が生じる可能性があるため注意が必要。
なお、本脆弱性の修正パッチは2月のセキュリティ更新にて提供される予定です。