Internet ExplolerにXXE攻撃の脆弱性が発覚

Internet Explolerにゼロデイ脆弱性が発覚。
ゼロデイ脆弱性とは、修正プログラム配布前に攻撃される脆弱性のこと。

今回見付かった脆弱性とは、MHT(MHTML)ファイルの処理方法の不具合を利用する物。
MHTMLとは、HTMLファイルを保存する為のフォーマット。
WindowsではMHTMLを開く際に自動的にIEが使われます。

攻撃者がMHTMLをターゲットに送り、ターゲットがMTHMLを開くと、ローカルのプログラムのバージョン情報を偵察できるとのこと。

発見者がマイクロソフトに報告すると、この脆弱性は将来のバージョンアップで修正されるとの返事だったそうです。
つまり即時修正するつもりはないんですね。
その為、今回公表することにしたとのこと。

過去にMHTMLの脆弱性を利用してマルウェアを配布したり、スピアフィッシング(特定の標的を狙ったフィッシング)が起きた事件があるそうです。

発見者はデモンストレーション動画も公開しています。

この動画ではXML External Entity attack(XXE攻撃)の様子がわかります。

Internet Explorer zero-day lets hackers steal files from Windows PCs

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください