知って得するセキュリティのはなし その34
IEに「緊急」の脆弱性、リモートから任意のコードを実行される恐れ
1.このニュースをざっくり言うと
- - 9月24日(日本時間)、マイクロソフト(以下、MS)より、Internet Explorer(以下IE)の脆弱性(CVE-2019-1367)を修正するセキュリティパッチがリリースされました。
- - 脆弱性はIEのスクリプトエンジンに存在するもので、IEによる不正なWebページの閲覧等により、悪用される可能性があるとみられます。
- - MSでは既に脆弱性を悪用する攻撃を確認しており、速やかなパッチの適用を呼び掛けています。
2.執筆者からの所感等
脆弱性の悪用により、Windowsにログオンしているユーザーの権限で任意のコードを実行される恐れがあり、特に管理者としてログオンしている場合、プログラムのインストールや不正なアカウントの作成等が可能とされています。
- セキュリティパッチは9月25日時点でWindows Updateでは配布されておらず(※)、上記MSのページ内のダウンロードリンクを経由してMicrosoft Updateカタログから入手し、手動でインストールする必要があるかもしれません(この場合、使用しているWindowsのバージョンに合ったパッチファイルをダウンロードすること、およびWindows 7の場合はIE11がインストールされている必要があることに注意してください)。
- 脆弱性の根本的な対策を考えるならば、手動であってもセキュリティパッチを適用することが最も重要ですが、パッチの適用が間に合わない段階で攻撃を受ける可能性もあり、これを緩和するためにも、アンチウイルスやUTMによる防御の併用は是非とも行うべきです。