セキュアNEWS まとめ

IT関連のセキュリティを中心にPC、ガジェット関連、IT時事に関わるニュースをまとめたブログ。

    カテゴリ:情報脅威 > ゼロデイ攻撃

    ie9


     Microsoftは17日、Internet Explorer(IE)のゼロデイ脆弱性(CVE-2020-0674)を公表するとともに、回避策を発表した。

     CVE-2020-0674はスクリプトエンジン(jscript.dll)がIEでメモリ内のオブジェクトを処理する方法に存在する。この脆弱性を悪用してメモリ破損を引き起こすことで、現在のユーザーのコンテキストで任意コードの実行が可能になるという。既にターゲットを限定した攻撃が確認されている。

     攻撃者がこの脆弱性を悪用し、影響を受けるシステムを制御する可能性があり、悪意あるプログラムインストール後には、データの表示、変更、または削除。または、完全なユーザー権限で新しいアカウントを作成するなどが予想される。

     Webベースの攻撃シナリオとして、攻撃者はInternet Explorerを介して脆弱性を悪用するように設計された特別に細工されたWebサイトをホストし、ユーザーに電子メールを送信するなどしてWebサイトを表示させたり、加工した Microsoft Office 文書などを実行させたりする攻撃が行われる可能性がある。
     
     回避策としてはtakeownコマンドでjscript.dllの所有者になり、caclsコマンドでeveryoneのアクセス権を「なし」にするというもの。jscript.dllでは同様の脆弱性が過去にも発見されており、回避策も同様の内容だ。元に戻すにはcaclsコマンドでeveryoneのアクセス権を失効させればいい。Microsoftでは更新プログラムをインストールする前に変更を元に戻しておくことを推奨している。
    それに加え、対策や回避策を適用するまでは、不審なサイトへの接続やファイルの実行をしないよう、警戒を強めることを推奨する。
     なお、IEはデフォルトでjscript9.dllを使用するため、jscript.dllをスクリプトエンジンとして使用するWebサイト以外は回避策の影響を受けないとのこと。

     この脆弱性はWindows 7以降およびWindows Server 2008以降のIE 9~11が影響を受ける。脆弱性の深刻度はクライアント系Windowsで「重大」、サーバー系Windowsで「中」となっている。この脆弱性に対する更新プログラムは月例更新で提供する計画のようだ。


    「Chrome」に2件の脆弱性、アップデート公開 - ゼロデイ攻撃も確認
    2019年 11月 5日

    190221_chrome-w1280

     「Chrome」の開発チームは、「Windows」や「macOS」「Linux」向けに最新版となる「同78.0.3904.87」をリリースした。アップデートは数日から数週かけて展開していく予定。

     今回のアップデートは、2件の脆弱性に対処したもの。いずれも解放後のメモリへアクセスするいわゆる「Use After Free」の脆弱性だという。

    「PDF」の処理を行う「PDFium」に明らかとなった「CVE-2019-13721」
    ◆オーディオ処理に存在する「CVE-2019-13720」
    の2件の脆弱性を修正した。

     いずれも深刻度評価の重要度は「高(High)」とレーティングされている。特に「CVE-2019-13720」に関しては、エクスプロイトを発端に発覚したもので、脆弱性を悪用してタスクスケジューラーにマルウェアの実行ファイルを登録するという。またすでにWindowsの64ビット版をターゲットにしたゼロデイ攻撃へ悪用されているとの報告もあり、注意が必要だ。

    エクスプロイトとは
    ソフトやハードの脆弱性を利用した悪意ある行為のために書かれた、スクリプトまたはプログラムを指す言葉

    このページのトップヘ