ビデオ: Beachbody Coaching (九月 2024)
マイクロソフトは、最近いくつかの標的型攻撃で既に使用されていたゼロデイ脆弱性を解決するために、Internet Explorerのアップデートを公開しました。
Microsoftのアウトオブバンドアップデートは、Internet Explorerバージョン6、7、8の重大な欠陥に対処するもので、同社は本日、セキュリティアドバイザリで述べています。 同社は以前、問題を一時的に解決する回避策としてFix-Itをリリースしていました。 Fix-Itをインストールしたユーザーは、パッチを適用する前にそれをアンインストールする必要はない、とMicrosoftは述べた。
「大半の顧客は自動更新を有効にしており、保護機能が自動的にダウンロードおよびインストールされるため、何もする必要はありません」とマイクロソフトはアドバイザリーで述べています。 IEを手動で更新するユーザーは、できるだけ早く更新を適用することを強くお勧めします。
QualysのCTOであるWolfgang Kandekは、Microsoftが累積的な更新ではなくパッチをリリースしたことに注意することが重要です。 ユーザーは、パッチ(MS13-008)を適用する前に、まずInternet Explorerのバージョンが最新であること(およびMS12-077がインストールされていること)を確認する必要があります。
帯域外パッチ
このパッチは、Microsoftの月例パッチ火曜日リリースの1週間後にリリースされます。 多くのセキュリティ専門家は、それが会社がバグを修正するために2月まで待つことを意味しているかどうか疑問に思っていました。
nCircleのセキュリティオペレーションディレクターであるAndrew Storms氏は、次のように述べています。「今日のパッチに加えて、2月に別のIE速報を目にすることはまったく驚きません。」 Storms氏によると、攻撃者はWebブラウザをますます攻撃しているため、定期的なブラウザパッチは良いことです。
FireEyeの研究者は、12月に評議会の外交関係のWebサイトが侵害され、この脆弱性を悪用して古いバージョンのInternet Explorerを使用している訪問者に感染していることを発見しました。 ゼロデイの欠陥が特定されると、他の研究者は、マイクロタービンシステムメーカーのCapstone Turbineや中国の2つの人権サイトなど、他のサイトに対する同様の攻撃を発見しました。 Microsoftは一時的な修正をリリースしましたが、Exodus Intelligenceの研究者はFix-Itをバイパスしてセキュリティホールをトリガーできました。
同社はこのパッチをリリースするために非常に迅速に取り組みましたが、多くのユーザーが必要な措置を講じていない「可能性が高い」ため、IEユーザーの大部分は保護されないままです。 Quarri Technologiesは SecurityWatch に語った。 これは、企業が「熟練したエンドユーザーがセキュリティ管理者であることに屈服している」ことが多いことを強調しています。
また、ユーザーはInternet Explorer 9または10にアップグレードすることをお勧めします。この問題は主に、IEの新しいバージョンを実行できないWindows XPをまだ実行しているユーザーに影響します。
BeyondTrustのCTOであるMarc Maiffret氏はSecurityWatchに、「これらのパッチは悪用される脆弱性に対処するため、できるだけ早くパッチを展開することが重要です。
Fahmidaの詳細については、Twitter @zdFYRashidで彼女をフォローしてください。
