by mynetx セキュリティ研究者がMicrosoft製のウェブブラウザであるInternet Explorer(IE)に ゼロデイ脆弱性 が存在することを発見しました。この脆弱性を利用すれば、ハッカーがWindows搭載PCからファイルを盗み出すことが可能になるとのことです。 hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-v11-XML-EXTERNAL-ENTITY-INJECTION-0DAY.txt http://hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-v11-XML-EXTERNAL-ENTITY-INJECTION-0DAY.txt Internet Explorer zero-day lets hackers steal files from Windows PCs | ZDNet https://www.zdnet.com/article/internet-explorer-zero-day-lets-hackers-steal-files-from-windows-pcs/ セキュリティ研究者が発見したゼロデイ脆弱性は、IEの「 MHT (MHTML)ファイルの処理方法」に関するものだそうです。MHTはIE上でユーザーが「Ctrl＋S」というショートカットを使った際に、ウェブページを保存しようとする際に使用される標準規格です。近年のウェブブラウザはウェブページをMHT形式で保存することが減っていますが、最新のウェブブラウザでもMHT形式のファイルの処理はサポートされているケースが多くあります。 そんなMHT形式ファイルの処理において、IEには脆弱性が存在するということを発見したのが、セキュリティ研究者のジョン・ページ氏。同氏の発見したゼロデイ脆弱性は「 XML外部実体攻撃 」と呼ばれるもので、「遠隔地にいるアタッカーが(PC内の)ローカルファイルを摘出し、ローカルにインストールされたプログラムのバージョン情報をリモートで偵察することができるようになる可能性がある」と指摘しています。

・関連記事

MicrosoftのVBScriptにゼロデイ脆弱性、北朝鮮のハッカー集団が悪用か - GIGAZINE



Microsoftの緊急パッチにより一部のノートPCが起動不能になる不具合が発生中 - GIGAZINE



IEに重大な脆弱性、サポート終了のWindows XPは修正パッチの予定なし - GIGAZINE



MicrosoftがWindows XP向けを含むIEのセキュリティパッチを緊急公開 - GIGAZINE



ウェブブラウザの栄枯盛衰が一発でわかるグラフ - GIGAZINE



2019年04月15日 10時36分00秒 in ソフトウェア, 動画, セキュリティ, Posted by logu_ii

You can read the machine translated English article here.