Microsoftは、IE9,10、11、およびXNUMXに影響を与える現在悪用されている脆弱性を修正します

7.44％のInternet Explorerは、依然としてEdgeよりも多くの市場シェアを持ち、Firefoxよりもわずかに少ないだけです。 したがって、Microsoftがブラウザの欠陥を修正するように設定されていることは朗報です。この欠陥により、誰かがソフトウェアを使用して特別に細工されたWebサイトにアクセスすると、リモートでコードが実行される可能性があります。

ADV200001スクリプティングエンジンのメモリ破損の脆弱性に関するマイクロソフトのアドバイザリは次のとおりです。

スクリプトエンジンがInternetExplorerのメモリ内のオブジェクトを処理する方法に、リモートでコードが実行される脆弱性が存在します。 この脆弱性は、攻撃者が現在のユーザーのコンテキストで任意のコードを実行するような方法でメモリを破壊する可能性があります。 攻撃者がこの脆弱性を悪用した場合、現在のユーザーと同じユーザー権限を取得する可能性があります。 現在のユーザーが管理ユーザー権限でログオンしている場合、この脆弱性を悪用した攻撃者が影響を受けるシステムを制御する可能性があります。 その後、攻撃者はプログラムをインストールする可能性があります。 データの表示、変更、または削除。 または、完全なユーザー権限で新しいアカウントを作成します。

Webベースの攻撃シナリオでは、攻撃者はInternet Explorerを介して脆弱性を悪用するように設計された特別に細工されたWebサイトをホストし、電子メールを送信するなどしてユーザーにWebサイトを表示するように仕向ける可能性があります。

Microsoftは語った TechCrunchの それは「限定的な標的型攻撃を認識」しており、「修正に取り組んでいる」ということです。 この欠陥は、影響を受けたFirefoxに似ており、同じ中国を拠点とするセキュリティ研究チームであるQihoo360の功績によるものです。

ただし、Microsoftは帯域外アップデートをリリースしません 去年のように、 つまり、ユーザーは11月XNUMX日の火曜日の次のパッチまで待つ必要があります。

欠陥は非常に深刻です国土安全保障は発行しました アドバイザリー。 逆説的ですが、Internet Explorerは、特別にコード化されたWebアプリをサポートする必要があるためにブラウザーにとどまっている一般的なエンタープライズユーザーであるため、機密データで使用される可能性が最も高くなります。

管理者が使用できる緩和手法があり、それを見つけることができます こちらのMicrosoftのガイダンスにあります。

ビア Engadgetの