検索:
ホーム   »   IE

VBScript エンジンのメモリ解放後使用脆弱性「CVE-2018-8373」を利用する新しい攻撃を確認

  • 投稿日:2018年10月3日
  • 脅威カテゴリ:サイバー攻撃, 脆弱性
  • 執筆:Trend Micro
0

トレンドマイクロは、2018 年 9 月 18 日、本ブログで 8 月 29 日に解説したメモリ解放後使用(Use After Free、UAF)の脆弱性「CVE-2018-8373」を利用する別の攻撃を確認しました。CVE-2018-8373 は、比較的新しいバージョンの Windows に搭載された Internet Explorer(IE)の VBScript エンジンに影響を与えます。Microsoft はすでに、2018 年 8 月の月例セキュリティ更新プログラムにおいて、CVE-2018-8373 を修正しているため、この脆弱性攻撃は、更新済みの IE に対して無効です。影響を受けるバージョンの詳細はこちらを参照してください。

(さらに…)

続きを読む
Tags: CVE-2018-8373IEUse After FreeVBScript

VBScript エンジンのメモリ解放後使用(Use After Free)の脆弱性「CVE-2018-8373」により、IE でシェルコードの実行が可能に

  • 投稿日:2018年8月29日
  • 脅威カテゴリ:脆弱性
  • 執筆:Trend Micro
0

トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」は、2018 年 7 月 11 日、Internet Explorer(IE)の危険度の高い脆弱性が実際の攻撃で利用されていることを確認しました。これは、Microsoft の 7 月の月例セキュリティ更新プログラム公開のちょうど翌日のことでした。ZDI は、脆弱性の修正を支援するためにすぐに詳細情報を Microsoft に通知しました。問題の脆弱性には「CVE-2018-8373」という識別番号が割り当てられ、8 月の月例セキュリティ更新プログラムにて修正されています。CVE-2018-8373 は、IE でメモリ内のオブジェクトを処理する VBScript エンジンにおける脆弱性です。影響を受ける IE のバージョンは、IE9、IE10、および IE11 です。ただし、Windows 10 Redstone 3(RS3) の IE11 は、初期設定で VBScript が無効化されているため影響を受けません。影響を受けるバージョンの詳細はこちらを参照してください。

ZDI は、CVE-2018-8373 を利用した不正な Web トラフィックを確認しました。図 1 は問題の URL です。

CVE-2018-8373 を利用する不正な Web サイトの URL

図 1:CVE-2018-8373 を利用する不正な Web サイトの URL

(さらに…)

続きを読む
Tags: CVE-2018-8373IEUse After FreeVBScript

Internet Explorerのサポートポリシー変更の影響は?速やかに最新版に更新を

  • 投稿日:2016年1月5日
  • 脅威カテゴリ:脆弱性
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

今このブログ記事を PC から読んでいる皆さん、ご使用の Windows のバージョンはなんでしょうか?もう XP やそれ以前の OS をご使用の方はいないと信じていますが、Windows Vista、Windows 7、Windows 8.1 の方々はすぐにご使用の Internet Explorer(IE)のバージョンを確認し、最新ではない以前のバージョンをご使用の場合はすぐにアップデートを行うことをお勧めします。2016年1月13日以降マイクロソフト社のサポートポリシーが変更され、サポート対象が「各オペレーションシステムの最新版の IE のみ」となります。つまり、「最新版」でない古いバージョンはサポート終了する、ということです。

OS のバージョン IE のバージョン
Windows Vista SP2 Internet Explorer 9
Windows 7 SP1 Internet Explorer 11
Windows 8 ※ Windows 8.1 へアップデートが必要
Windows 8.1 Update Internet Explorer 11
Windows Server 2008 SP2 Internet Explorer 9
Windows Server 2008 R2 SP1 Internet Explorer 11
Windows Server 2012 Internet Explorer 10
Windows Server 2012 R2 Internet Explorer 11

この表はそれぞれの Windows環境における「最新の」IE のバージョンです。各OS上でこれより古いバージョンの IE は 1月12日でサポート終了となります。クライアントOS に絞れば、Vista のみが IE9 でそれ以外は IE11 が最新となります。ここで IE とは別に注意すべきは Windows 8 です。Windows Vista の延長サポートが 2017年4月まで続く一方で、Windows 8 のサポート期間は 2016年1月12日で終了するため、Windows8.1以上へのアップデートが必要です。IE同様速やかにアップデートを行うことをお勧めします。

(さらに…)

続きを読む
Tags: 脆弱性IEInternet Explorer

Internet Explorerのゼロデイ脆弱性を確認、Universal XSS攻撃の危険性

  • 投稿日:2015年2月5日
  • 脅威カテゴリ:脆弱性
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

トレンドマイクロではInternet Explorer(IE)に未修正の脆弱性(ゼロデイ脆弱性)があることを確認しました。同一生成元ポリシーの制約を迂回するこの脆弱性を利用することで、「ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)」と呼ばれる攻撃が可能になります。

(さらに…)

続きを読む
Tags: 同一生成元ポリシーユニバーサルクロスサイトスクリプティングゼロデイ脆弱性IEUniversal XSSUXSS

IEの「Delay Free」、「解放後使用」の脆弱性利用の攻撃を軽減

  • 投稿日:2014年7月22日
  • 脅威カテゴリ:脆弱性, TrendLabs Report
  • 執筆:Threats Analyst - Jack Tang
0

2014年6月公開の Microsoft のセキュリティ更新プログラムで、「isolated heap(隔離されたヒープ)」と呼ばれる改善がありましたが、7月のセキュリティ更新プログラムでも、Internet Explorer(IE)に関するいくつかの改善が確認されています。なかでも最も興味深く、また賢明だと思われるのは、IE に存在する「Use After Free(解放後使用)」の脆弱性を利用した攻撃を軽減するように設計された改善策です。本稿では、この改善策を「delay free」と呼びます。この改善策により、参照数が 0 の場合、IE はオブジェクトのヒープ領域を即時に解放しなくなります。

(さらに…)

続きを読む
Tags: ヒープ領域解放後使用脆弱性IE


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.