IPA、Internet Explorerの脆弱性に注意喚起

ブロードバンドセキュリティ

注目記事

2011.2.10（木）11:46

　情報処理推進機構（IPA）は9日、昨年12月に公表された「Internet Explorer」の脆弱性に関して、日本マイクロソフト（以下MS）からの正式な修正プログラムを適用するよう声明を発表した。Windows XP以降の全てのIE（Internet Explorer 6／7／8）が対象となる。

　確認されている脆弱性は「CSSメモリ破損の脆弱性」（CVE-2010-3971）、「初期化されていないメモリ破損の脆弱性」（CVE-2011-0035）、「初期化されていないメモリ破損の脆弱性」（CVE-2011-0036）、「Internet Explorer の安全でないライブラリのロードの脆弱性」（CVE-2011-0038）の4つ。MSからのセキュリティ更新プログラムは、Windowsクライアント上のIEについて深刻度を「緊急」、Windowsサーバー上のIEの深刻度を「警告」と評価している。

　このうち「CSSメモリ破損の脆弱性」に関しては、ゼロディ攻撃が既に確認されているという。この脆弱性はInternet Explorer 6／7／8のCSS（Cascading Style Sheets）処理に存在。脆弱性を修正していないIEで、この脆弱性を悪用した攻撃コードを埋め込んだウェブサイトにアクセス、またはそのHTMLメールを開いた場合、攻撃者がローカルユーザーと同じ権限を取得する可能性がある。そのためシステムでアカウントのユーザー権限を低く設定している場合は、管理者ユーザー権限で実行しているユーザーよりも、被る影響が少なくなる可能性がある。

　IPAはこれらの脆弱性の修正を含む「MS11-003」（http://www.microsoft.com/japan/security/bulletins/MS11-003e.mspx）を至急適用するよう呼びかけている。修正プログラムの適用方法には、Microsoft Updateによる一括修正と、個別の修正プログラムをダウンロード・インストールする方法がある。

《RBB TODAY》