皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

Microsoft（マイクロソフト）は先週末、同社の提供するブラウザ『Internet Explorer（IE）』の『ゼロデイ脆弱性』を公開し、既に悪用されていることも公開しています。

今日はそれをお伝えします。

IEにゼロデイ脆弱性で既に悪用を確認

Microsoft（マイクロソフト）によると、今回見つかった脆弱性は第三者がユーザーを悪意のあるサイトへ接続させたり、加工済みのOffice文書などを実行させたりする攻撃が行われる可能性があるとしています。

これを受けてJPCERT/CC（JPCERTコーディネーションセンター）などでは、対策や回避策を適用するまでは不審なサイトへの接続やファイルの実行を控える様に注意喚起を促しています。

＜対象の製品とバージョン＞

・Microsoft Internet Explorer 9

・Microsoft Internet Explorer 10

・Microsoft Internet Explorer 11

＜対策＞

・後術の回避策を実施するか、別のブラウザを使用する

＜回避策＞

・『jscript.dll』へのアクセス権限を制限することで影響を回避可能

※　IE11、IE10、IE9 は、本脆弱性の影響を受けない jscript9.dll がデフォルトで使用されているが、古いバージョンの JScript をサポートするために jscript.dllが提供されており、回避策を実施することで、jscript.dll の使用を制限すると、古いバージョンの JScript を使用する Web サイトや文書ファイルの閲覧に影響が生じる可能性があるため注意が必要。

なお、本脆弱性の修正パッチは2月のセキュリティ更新にて提供される予定です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は先週リリースされた『iOS』に関する話題です。

iOS 12.1.4 へアップデートを早急に

前バージョンにおいて通信相手が応答していない状態でも音声や映像を盗み取れてしまうバグ、『FaceTime盗聴バグ』が見つかったことにより、先週、それを修正した『iOS 12.1.4』がリリースされたわけですが、今回の修正はこれだけではなく、他のセキュリティ対策も施されています。

１つは、攻撃者が悪意のあるアプリを通じてメモリを破損させて昇格した権限を取得できるもの。

もう1つは、メモリ破損を利用してカーネル権限で任意のコードを実行できるというもの。

この2件の脆弱性に関しては修正プログラムが提供されるまで解消手段がない『ゼロデイ（Zero day）』と呼ばれる脆弱性であるため、脅威にさらされた状況から脱するには『iOS 12.1.4』にアップデートするしか方法がありません。

iOSなどのアップデートの場合、別の問題が出る可能性を考慮して様子見する方も多いようですが、できる限り早くアップデートされる方が望ましいと言えます。