NTTデータ先端技術は10月2日、MicrosoftのWebブラウザ「Internet Explorer」が使用するコンポーネントの1つ「mshtml.dll」の脆弱性を検証したレポートを公開した。
この脆弱性は、非営利団体MITREが公開する「脆弱性情報データベース」のCVE-2013-3893として、2013年9月から報告されていたセキュリティホールの1つ。別記事「JPCERT/CC、Internet Explorerの未修正脆弱性を突いた標的型攻撃に注意喚起」も参照いただきたい。
HTMLビューアであるmshtml.dllには、削除されたメモリ内、もしくは未割り当てメモリ内のオブジェクトに、Internet Explorerがアクセスできる脆弱性が潜んでいる。そのため攻撃者は、特定のWebサイトへと利用者を誘導、表示させることで、リモートからユーザーの権限で任意のコードを実行できる問題がある。
|
NTTデータ先端技術のレポートに掲載されたセキュリティホールのイメージ図(画像は同サイトより) |
影響は多岐にわたり、Ineternet Explorer 6からIneternet Explorer 11まですべてのバージョンが対象。Microsoftおよび日本マイクロソフトは臨時的な措置として、セキュリティホールをふさぐFix itを臨時的に適用するか、脆弱性を緩和する「EMET(Enhanced Mitigation Experience Toolkit)」の利用を推奨していた。
また、同レポートではセキュリティホールの検証として、脆弱性を抱えるPC(Windows 7)で特定のコマンドを実行し、別のコンピューター(OS X)に誘導できることを証明している。
|
セキュリティホールを検証。対象となるコンピューターのユーザー権限を取得している(画像は同サイトより) |
なお、日本マイクロソフトは、「2013年10月 セキュリティ情報の事前通知」として、本脆弱性をふさぐ修正プログラムを公開することを発表している。10月9日に、Windows UpdateおよびMicrosoft Update経由で配布するという。
