IT、ガジェットネタまとめ速報

IT技術やガジェットネタに関するみんなの反応のまとめをチョイスしてお届け!

ガジェット:ブラウザ

Internet Explorerでゼロデイ脆弱性が発見される、PC上のファイルを盗まれる可能性

投稿日:

1: ムヒタ ★ 2019/04/15(月) 10:52:30.81 _USER
00_m
セキュリティ研究者がMicrosoft製のウェブブラウザであるInternet Explorer(IE)にゼロデイ脆弱性が存在することを発見しました。この脆弱性を利用すれば、ハッカーがWindows搭載PCからファイルを盗み出すことが可能になるとのことです。

セキュリティ研究者が発見したゼロデイ脆弱性は、IEの「MHT(MHTML)ファイルの処理方法」に関するものだそうです。MHTはIE上でユーザーが「Ctrl+S」というショートカットを使った際に、ウェブページを保存しようとする際に使用される標準規格です。近年のウェブブラウザはウェブページをMHT形式で保存することが減っていますが、最新のウェブブラウザでもMHT形式のファイルの処理はサポートされているケースが多くあります。

そんなMHT形式ファイルの処理において、IEには脆弱性が存在するということを発見したのが、セキュリティ研究者のジョン・ページ氏。同氏の発見したゼロデイ脆弱性は「XML外部実体攻撃」と呼ばれるもので、「遠隔地にいるアタッカーが(PC内の)ローカルファイルを摘出し、ローカルにインスロールされたプログラムのバージョン情報をリモートで偵察することができるようになる可能性がある」と指摘しています。

WindowsではすべてのMHTファイルがIEで自動的に開くようにデフォルトで設定されているため、ユーザーはメール・インスタントメッセージ・その他の方法で受信したMHTファイルをダブルクリックするだけで、XML外部実体攻撃を受ける可能性があります。ページ氏は脆弱性に関するコードはIEが「Ctrl+K」(タブの複製)などのショートカットをどのように処理するかに依存している、と述べています。また、「window.print(ページを印刷するための印刷ダイアログを開くメソッド)を呼び出すだけで、ユーザーがウェブページを操作しなくても、脆弱性を用いた攻撃はうまく機能するはずです」とページ氏は指摘しています。

加えて、ページ氏の発見した脆弱性を用いればIEのセキュリティ警告システムを無効にすることもできるとのこと。「通常、『Microsoft.XMLHTTP』のようなActiveXをインストールしたユーザーは、IE上でセキュリティ警告を受け、コンテンツのブロックを推奨されます。しかし、悪意のあるアタッカーがXMLマークアップタグを用いて細工したMHTファイルの場合、開いてもIE上にセキュリティ警告が表示されることはありません」とページ氏は説明しています。

ページ氏の発見したゼロデイ脆弱性はWindows 7/10/SERVER 2012 R2で機能することが確認されています。また、WindowsはいまだにMHTファイルをデフォルトでIEで開くため、ユーザーがIEを既定のブラウザに設定していなくても、脆弱性を用いた攻撃を受ければPC内のファイルを盗み出される危険があります。

ページ氏は2019年3月27日に発見した脆弱性をMicrosoftに通知したそうです。しかし、4月10日にMicrosoftから「この問題に対する修正は、製品またはサービスの将来のバージョンで考慮される予定です。現時点ではこの問題に対する修正のステータスの継続的な更新を提供する予定はありません。この問題は解決しています」というメッセージが返ってきたそうで、即時の修正対応は期待できないことが判明しています。

そのため、ページ氏はIEのゼロ脆弱性を自身のブログ上で発表し、YouTube上で概念実証用のデモンストレーションまで公開しています。

海外メディアのZDNetは、「Microsoftの対応は軽いものでしたが、この脆弱性を軽視しないでください。過去にもMHTファイルを利用してスピアフィッシングを行ったりマルウェアを配布したりしたサイバー犯罪グループがいました。また、MHTファイルはユーザーのコンピューターを攻撃するためのエクスプロイトキットを作るために用いられる一般的なもののひとつとなりつつあります」と警告しています。
2019年04月15日 10時36分
https://gigazine.net/news/20190415-internet-explorer-zero-day-vulnerability/
引用元: http://egg.5ch.net/test/read.cgi/bizplus/1555293150/


続きを読む


【期間限定】失敗しないためのカリビアンコム3日間無料キャンペーン情報まとめ

このまとめの続きはコチラ!

-ガジェット:ブラウザ

関連記事

Chromeブラウザに「データ節約機能」搭載へ、タブの自動停止も

1: 自治郎 ★ 2018/07/23(月) 21:51:27.96 _USER9
グーグルは「Chrome」ブラウザのアップデートにより、通信データ量の抑制や、新たなショートカット機能など、様々な便利な機能を追加しようとしている。ここではそのいくつかを紹介する。 1) タブの自動停止 サイ…

「Firefox 64」公開、機能の提案やタブ管理を強化

1: 田杉山脈 ★ 2018/12/12(水) 20:11:49.19 _USER
「Firefox」の新版が米国時間12月11日にリリースされた。ウェブをさらに興味深いものにし、利便性を高めたり、生産性を向上させたりするようなオプションを試しやすくなった。  「Firefox 64」には「Contextual Featu…

情報ブログが使う常套句「いかがでしたか?」を検知し、閲覧時に警告してくれるChrome拡張

1: 名無しさん@涙目です。(静岡県) [US] 2019/03/17(日) 12:25:07.96 BE:762376718-PLT(12000)
 パッと見た感じの体裁は整っており、分量もそれなりにあるのに、内容は引用に引用を重ねているだけで、大した情報量はない ――そんなブログ記事を見かけることが近年、多…

マイクロソフト「InternetExplorerを使い続けるのは危険だ。最新のブラウザに速やかに移行して」

1: 名無しさん@涙目です。(宮城県) [US] 2019/02/09(土) 14:40:03.55 ● BE:601381941-PLT(13121)
マイクロソフト、企業にInternet Explorerの使用をやめるよう要請。「IEは技術的負債もたらす」 マイクロソフトが、旧式のウェブブラウザーInternet Explorer(IE)を使…

高速化を進めてアドオンを排除したFirefox、ついにシェアが10%切る

1: すらいむ ★ 2018/06/07(木) 16:15:55.25 _USER9
Firefox、高速化を進めてアドオン排除という改悪の結果、ユーザー数が減少  ブラウザやオペレーティングシステム(OS)のシェアを調査するNetMarketShare社は、2018年5月のブラウザシェアを発表、Firefoxはじりじり…