Microsoft は、2015年8月18日(米国時間)、サポート中の Windows のすべてのバージョンに適用される定例外セキュリティ情報「MS15-093」を公開しました。この更新プログラムでは、Internet Explorer(IE)に存在する脆弱性「CVE-2015-2502」が修正されます。この脆弱性が利用されると、ユーザが Webサイトに訪れた際、攻撃者はユーザの PC上で任意のコードを実行することが可能となります。改ざんされた Webサイトや標的型メール、不正な広告など、あらゆる感染経路でエクスプロイトが駆使され、この脆弱性の悪用により、ユーザを狙う攻撃が実行される恐れがあります。実際、この脆弱性を悪用した脅威としては、すでに一部「水飲み場攻撃」をもくろんだ利用が確認されています。
今回の脆弱性は、メモリ破損の脆弱性であり、これまでにも指摘されてきた IE上の一般的な問題でもあります。Microsoft は、この脆弱性の深刻度を「緊急」として指定し、上述のセキュリティ情報ページ上で公開されたセキュリティ更新プログラムにより解決されます。また、ユーザへのリスク緩和としては、以下のような方策もあります。
第一に、任意のコードはログインしているユーザ権限でのみ実行されるため、「コンピューターでのユーザ権限が低い設定のアカウントを持つユーザは、管理者ユーザ権限で実行しているユーザよりもこの脆弱性による影響が少ないと考えられます。」 第二には、Windows 10 上で Microsoft Edge を使用しているユーザは影響を受けません。さらに、Windows サーバ(Windows Server 2008、Server 2008 R2、Server 2012、 Server 2012 R2)上のIE は、制限モードで実行されているため、これらのオペレーティングシステム(OS)上でも影響は少ないと考えられます。
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下のフィルタを適用することにより、この脆弱性を悪用した攻撃から保護されています。なお、このフィルタは、2015年8月の定例セキュリティ情報(英語情報)に関連した一連のフィルタの続きとして公開されています。
- 1006957 – Microsoft Internet Explorer Arbitrary Remote Code Execution Vulnerability
ユーザは、今回の脆弱性に対応した Windows の更新プログラムを速やかに適用して下さい。なお、更新プログラムを手動でダウンロードする場合は、今回の更新プログラムが、いわゆる「過去にリリースされた修正の内容がすべて含まれている累積的更新プログラム」でない点にご注意ください。したがって手動ダウンロードの場合は、この更新プログラムをインストールする前に、必ず「8月分の累積的更新プログラム」をインストールしてください。
参考記事:
- 「Microsoft Issues Out-of-band Patch For Internet Explorer」
by Jonathan Leopando (Technical Communications)
翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)