日本ではゴールデンウィークの最中でしたが、Internet Explorer 8 (IE8) が対象になる脆弱性が発見され、それを利用した攻撃に関して Microsoft から発表がありました。
JVN でも報告されています。
Microsoft is investigating public reports of a vulnerability in Internet Explorer 8. Microsoft is aware of attacks that attempt to exploit this vulnerability.
Internet Explorer 6, Internet Explorer 7, Internet Explorer 9, and Internet Explorer 10 are not affected by the vulnerability.
まず、今回の脆弱性で影響があるのは、IE8 のみで、IE7 以前や、IE9 以降はこの脆弱性の影響を受けないとのこと。すでにこの脆弱性を利用した攻撃も確認されているので、注意が必要です。
This is a remote code execution vulnerability. The vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted or has not been properly allocated. The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer. An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the website.
On completion of this investigation, Microsoft will take the appropriate action to protect our customers, which may include providing a solution through our monthly security update release process, or an out-of-cycle security update, depending on customer needs.
脆弱性に関しては、解放済みメモリ使用 (use-after-free) の脆弱性により、攻撃コードを仕込まれた Web ページを閲覧したりすることで任意のコードを実行される可能性ってことで、今年の 1月に発表された脆弱性と同じもののようです。
また、Microsoft は本件に関するセキュリティパッチを月例または臨時の修正パッチで提供するということですが、現状では対策がないため、IE8 を使っている人は別のブラウザを使用するなどの対策をとった方がよいと思います。セキュリティパッチ公開後は、Windows Update をきちんと適用しましょう。
Windows 7 以降を使っている人は、IE8 を使う理由がないので、IE9 以降、できれば IE10 にアップデートすればいいと思います。Windows XP を使っている人はアップデート可能な最新版の IE が IE8 ですので、どうしようもないですが、そろそろサポートも終わるし、もう諦めたらいいんじゃないですかね。
2013年 5月 15日追記
修正プログラムがリリースされました。
参考リンク
- 水飲み場型攻撃に悪用された Internet Explorer 8 の新しいゼロデイ脆弱性 : Symantec Connect Community
- IE 8 の脆弱性を突く大規模攻撃が確認される : インターネットコム