-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- LAC Advisory
- JVN
- IOC
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
2013年10月15日更新
弊社が運営するセキュリティ監視センター『JSOC』および、緊急対応チーム『サイバー救急センター』は、2013年9月18日にマイクロソフト社が公表した Internet Explorer(以下IE)の脆弱性を悪用した標的型攻撃により、実際に被害が発生したことを確認しました。
弊社は、本脆弱性の影響を深刻であると判断し、マイクロソフト社が2013年10月9日に提供を開始した Internet Explorer の累積的セキュリティ更新プログラム MS13-080を適用するなど、早急に対策を行うことを強く推奨します。
マイクロソフト セキュリティ情報 MS13-080 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017)
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-080
における、CVE-2013-3893の脆弱性
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3893
脆弱性の概要
この脆弱性はIEにおけるメモリオブジェクトの処理に起因して、Use-After-Free (解放済みメモリ使用の脆弱性) が発生するもので、攻撃者がJavaScriptを利用した脆弱性を悪用する攻撃コードを含むコンテンツをIEで閲覧した場合、メモリ領域に配置された攻撃コードが実行されます。これにより、攻撃者は攻撃が成功したコンピュータを支配することが可能となります。
対策としては、以下の方法をご検討ください。
マイクロソフト社が提供しているセキュリティ更新プログラムを適用します。
以下のセキュリティ更新プログラムの適用をご検討ください。
マイクロソフト セキュリティ情報 MS13-080 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017)
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-080
適用は、Microsoft Updateから実行することが可能です。
マイクロソフト Fix it ソリューションは公開を終了しました
本注意喚起で当初(2013年9月19日発表当時)紹介しておりましたFix itソリューションですが、マイクロソフト社からの提供が終了しましたので、本注意喚起における記載を削除いたしました。
すでにFix itを適用されているお客様は、そのままでも防御機能は有効ですが、できる限りMS13-080で提供されている累積的なセキュリティ更新プログラムの適用をお願いいたします。
なお、上記更新プログラムの適用をする際に、Fix itソリューションの削除は必要ありません。
Enhanced Mitigation Experience Toolkit を使用する
マイクロソフト社が提供するEnhanced Mitigation Experience Toolkit (EMET) は、脆弱性の悪用を困難にする保護レイヤーを追加することによって、この脆弱性の悪用を防止します。現時点で、EMET は英語版のみで提供されています。詳細については、サポート技術情報 2458544 を参照してください。
以上
注意喚起情報は、ラックメールマガジン(臨時号)にて、
いち早く皆様にお知らせしています
配信をご希望の方はこちらからご登録いただけます。
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- LAC Advisory
- JVN
- IOC
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR