本ブログ記事では、新たに確認されたInternet Explorer(IE)の脆弱性「CVE-2020-17053」について解説します。トレンドマイクロはこれまでもIE内に存在する脆弱性の解析結果について報告しています。2020年8月には、IEの実行時コンパイラ(JITエンジン: Just-In-Time Engine)の型推論によるエラーが、ゼロデイ脆弱性「CVE-2020-1380」をどのように引き起こしたかについて解説しました。このゼロデイ脆弱性は、ArrayBufferを無効にすることで悪用可能となり、メモリ解放後使用(Use-After-Free、UAF)の脆弱性をもたらします。弊社は、この脆弱性の根本原因を解析しているときに、同様の脆弱性をトリガーする別の方法を見つけました。この方法ではJITエンジンは必要がないため、「CVE-2020-17053」とは別の脆弱性と判断されました。このセキュリティ上の弱点(バグ)は、トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative(ZDI)」により2020年9月にMicrosoft社に提出されました。脆弱性としてCVE-2020-17053が割り当てられ、Microsoftは11月にリリースされた月例セキュリティパッチ「Patch Tuesday」にて修正を行いました。 (さらに…)
続きを読むセキュリティリサーチャのJohn Page氏は、2019年4月中旬、Microsoft Internet Explorer(IE)において、XML External Entityインジェクションが可能になるゼロデイ脆弱性について公開しました。攻撃者がこの脆弱性を利用した場合、機密情報の漏えいや対象PCからローカルファイルが窃取されるなどの被害に遭う可能性があります。これに関して、Page氏はWindows 7、Windows 10、そしてWindows Server 2012 R2に最新の修正プログラムを適用した状態で「IE 11」の最新バージョンでこの脆弱性を検証しました。トレンドマイクロは、この脆弱性がどのように機能し、そこから生じ得る脅威をどのようにして軽減することができるかについてより深く理解するため、この攻撃の流れについて調査しました。
(さらに…)
2019年3月30日、セキュリティリサーチャのJames Lee氏によって現行バージョンのMicrosoft EdgeおよびInternet Explorerのゼロデイ脆弱性が報告されました。これらの脆弱性は「同一生成元ポリシー違反」と呼ばれるもので、不正なWebサイトに埋め込まれたJavaScriptが、ユーザが訪問した別のWebサイトに関連した情報を収集することが可能になります。ユーザがMicrosoft EdgeまたはInternet Explorerを使用して不正なWebサイトを訪問した場合、これらの脆弱性が利用され、ブラウザのセッションに関する機密情報が攻撃者に転送される恐れがあります。Lee氏はそれぞれの脆弱性に対する簡単な概念実証(Proof of Concept、PoC)サイトも公開しています。
続きを読む韓国を標的とした新しい暗号化型ランサムウェア「MAGNIBER(マグニバー)」(「RANSOM_MAGNIBER.A」および「TROJ.Win32.TRX.XXPE002FF019」として検出)が確認されました。MAGNIBER は、攻撃者が保有するドメインまたはサイト上の「malvertisement(不正広告)」を介し、脆弱性攻撃ツール(エクスプロイトキット)「Magnitude Exploit Kit (Magnitude EK)」によって拡散します。Magnitude EK は、拡散するランサムウェアを「CERBER」から MAGNIBER に変更し、対象を韓国のユーザに特化したようです。
続きを読む今このブログ記事を PC から読んでいる皆さん、ご使用の Windows のバージョンはなんでしょうか?もう XP やそれ以前の OS をご使用の方はいないと信じていますが、Windows Vista、Windows 7、Windows 8.1 の方々はすぐにご使用の Internet Explorer(IE)のバージョンを確認し、最新ではない以前のバージョンをご使用の場合はすぐにアップデートを行うことをお勧めします。2016年1月13日以降マイクロソフト社のサポートポリシーが変更され、サポート対象が「各オペレーションシステムの最新版の IE のみ」となります。つまり、「最新版」でない古いバージョンはサポート終了する、ということです。
| OS のバージョン | IE のバージョン |
| Windows Vista SP2 | Internet Explorer 9 |
| Windows 7 SP1 | Internet Explorer 11 |
| Windows 8 | ※ Windows 8.1 へアップデートが必要 |
| Windows 8.1 Update | Internet Explorer 11 |
| Windows Server 2008 SP2 | Internet Explorer 9 |
| Windows Server 2008 R2 SP1 | Internet Explorer 11 |
| Windows Server 2012 | Internet Explorer 10 |
| Windows Server 2012 R2 | Internet Explorer 11 |
この表はそれぞれの Windows環境における「最新の」IE のバージョンです。各OS上でこれより古いバージョンの IE は 1月12日でサポート終了となります。クライアントOS に絞れば、Vista のみが IE9 でそれ以外は IE11 が最新となります。ここで IE とは別に注意すべきは Windows 8 です。Windows Vista の延長サポートが 2017年4月まで続く一方で、Windows 8 のサポート期間は 2016年1月12日で終了するため、Windows8.1以上へのアップデートが必要です。IE同様速やかにアップデートを行うことをお勧めします。
続きを読むMicrosoft は、2014年4月26日(米国時間)、「セキュリティアドバイザリ 2963983」を公開しました。このセキュリティアドバイザリは、Internet Explorer(IE)で確認された新たなゼロデイ脆弱性「CVE-2014-1776」について記述しています。
続きを読む
