メモ

IEに重大な脆弱性、サポート終了のWindows XPは修正パッチの予定なし

By tim_d

Internet Explorer 6から11までの全バージョンに関わる脆弱性の存在をMicrosoftが発表しました。対象OSはWindows 8.1やWindows Server 2012などほぼすべてのWindows OSで、当然、2014年4月9日にサポートが終了したWindows XPも含まれていますが、マイクロソフト セキュリティ アドバイザリの適用はありません。

Microsoft Security Advisory 2963983
https://technet.microsoft.com/ja-jp/library/security/2963983

New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog
http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html

Hackers find first post-retirement Windows XP-related vulnerability - Computerworld
http://www.computerworld.com/s/article/9247940/Hackers_find_first_post_retirement_Windows_XP_related_vulnerability

Microsoftが発表した脆弱性は、削除したメモリや適切に割り当てられていないメモリ内のオブジェクトにアクセスされることで、リモートでコードが実行されるというもの。攻撃者はIEのこの脆弱性を利用して、偽のサイトを表示させユーザーをだましてリンクをクリックさせてコードを実行させることが可能となるとのこと。対象ブラウザはIE6からIE11までの全バージョンで、対象OSは最新OSであるWindows 8.1やサーバーOSであるWindows Server 2012などほぼ全てのWindows OSです。

By Don Hankins

セキュリティ会社FireEyeによると、今回の脆弱性はIE6からIE11までのすべてのIEに共通のものですが、IE9からIE11を攻撃対象とするゼロデイアタックの存在を確認済みで、これらの攻撃はFlash経由であることが確認されているため、IEのFlashプラグインを無効にすることが有効な対策であると明らかにしています。

Microsoftはこの脆弱性に対して臨時更新プログラムを提供する予定ですが、サポートが終了したWindows XPにはパッチは提供されない見込み。そのためWindows XPのユーザーは、少なくとも今後12カ月間はサポートが継続されるGoogle ChromeやFirefoxのようなブラウザへの切り替えによって対処するしか方法はなさそうです。

つづき
MicrosoftがWindows XP向けを含むIEのセキュリティパッチを緊急公開 - GIGAZINE

・関連記事
IE6・IE7・IE8・IE9にあるXML絡みの情報漏洩の脆弱性は修正予定なし - GIGAZINE

GoogleがChromeのWindows XP向けサポートを延長すると発表 - GIGAZINE

サポート切れまで残り1週間しかないWindows XPのシェアは依然高いことが判明 - GIGAZINE

Windows XPの延長サポート契約をイギリスとオランダの政府がMicrosoftと締結 - GIGAZINE

サポート切れのWindows XP搭載PCが起動不能となる問題をMicrosoftが修正 - GIGAZINE

50万件以上のサイトがWindows XP・2000などサポート切れOSベースのサーバーで動作中 - GIGAZINE

全世界ブラウザシェア2014年2月版、IEの独走が続きシェア変動はほぼゼロ - GIGAZINE

in ソフトウェア,   メモ, Posted by logv_to