2019年4月16日

【Internet Explorer(IE)／脆弱性情報】IEでゼロデイ脆弱性が発見される／PC上のファイルを盗まれる可能性

解決法についても記載が見られたので取り急ぎ。

※IEでゼロデイ脆弱性が発見される／PC上のファイルを盗まれる可能性／以下Gigazineさんより抜粋／4月15日

発見したゼロデイ脆弱性は「XML外部実体攻撃」と呼ばれるもので、「遠隔地にいるアタッカーが(PC内の)ローカルファイルを摘出し、ローカルにインストールされたプログラムのバージョン情報をリモートで偵察することができるようになる可能性がある」と指摘しています。

ページ氏は2019年3月27日に発見した脆弱性をMicrosoftに通知したそうです。しかし、4月10日にMicrosoftから「この問題に対する修正は、製品またはサービスの将来のバージョンで考慮される予定です。現時点ではこの問題に対する修正のステータスの継続的な更新を提供する予定はありません。この問題は解決しています」というメッセージが返ってきたそうで、即時の修正対応は期待できないことが判明しています。

そのため、ページ氏はIEのゼロ脆弱性を自身のブログ上で発表し、YouTube上で概念実証用のデモンストレーションまで公開しています。

Internet Explorer / XML External entity Injection 0day – YouTube

※ここまで

Google Cromeについても5日にIT mediaエンタープライズさんで脆弱性に対する注意喚起の記事が書かれていました。

Crome、IEをご利用のユーザー様におかれましては念のためご確認をお願いする所存ですが、一般的な脆弱性情報への最も低コストな対応は「ベンダー発表通り常にVer.UPを怠らないこと」「データのバックアップは常にとること」につきます。

大きめの脆弱性情報はこちらのページでも記載しますので、適切なご対応をお願い申し上げます。