IE6~11 に未解決の脆弱性。セキュリティパッチは後日、Fix it は公開済み

マイクロソフトが発表したセキュリティアドバイザリ(2887505)によると、IE6 ~ IE11 にリモートコードが実行される脆弱性が発見されたとのこと。

Internet Explorerマイクロソフトが発表したセキュリティアドバイザリ(2887505) によると、Internet Explorer (IE) の全バージョン、IE6 ~ IE11 にリモートコードが実行される脆弱性が発見されたとのこと。

すでに、IE8、IE9 を対象にした標的型攻撃も確認されているとのことで、当面の対策として Fix it はすでに公開済みですので、取り急ぎそちらを利用するか、IE を窓から投げ捨てるか、対策が必要になります。

Microsoft is investigating public reports of a vulnerability in all supported versions of Internet Explorer. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability in Internet Explorer 8 and Internet Explorer 9. Applying the Microsoft Fix it solution, "CVE-2013-3893 MSHTML Shim Workaround," prevents the exploitation of this issue. See the Suggested Actions section of this advisory for more information.

The vulnerability is a remote code execution vulnerability. The vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted or has not been properly allocated. The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer. An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the website.

On completion of this investigation, Microsoft will take the appropriate action to protect our customers, which may include providing a solution through our monthly security update release process, or an out-of-cycle security update, depending on customer needs.

Microsoft Security Advisory (2887505): Vulnerability in Internet Explorer Could Allow Remote Code Execution から引用

  • この脆弱性は、すべてのサポートされているバージョンの IE に存在する
  • すでに IE8、IE9 を対象に、この脆弱性を悪用しようとする標的型攻撃を確認している
  • リモートでコードが実行される脆弱性。攻撃コードを仕込まれた Web ページを閲覧したりすることで任意のコードを実行される可能性あり
  • 削除されたメモリ内や適切に割り当てられていないメモリ内のオブジェクトに IE がアクセスする方法に脆弱性が存在する
  • マイクロソフトは本件について調査中。調査完了後、月例のセキュリティ更新プログラム、もしくは臨時のセキュリティ更新プログラムとして修正パッチを提供する予定

Fix it は下記から入手可能です。

[2013年9月18日 11:36 追記]

[2013年10月 9日 10:36 追記]