マイクロソフトがInternet ExplorerとEdgeブラウザをGoogleのChromiumレンダリングエンジンで再構築する作業を進める中、Googleのエンジニアであるクレメント・ルシーニュ氏がInternet Explorerバージョン9、10、11に影響を及ぼす重大な脆弱性を発見した。マイクロソフトは本日、Windows 7、8.1、10バージョンとWindows Server 2008、2012、2016、2019向けの緊急アップデートをリリースした。
Internet Explorerの欠陥
CVE-2018-8653と呼ばれるこのバグは、Internet Explorerのスクリプトエンジンがメモリ内のオブジェクトを処理する方法に起因するリモートコード実行の脆弱性です。攻撃者はこの脆弱性を悪用し、メモリを破壊して悪意のあるコードを実行し、現在のユーザーと同じシステム権限を取得する可能性があります。
Windowsアカウントはデフォルトで管理者(Standard/Limitedではなく)に設定されているため、多くの場合、悪意のある第三者は管理者権限も取得できます。これにより、攻撃者はプログラムのインストール、情報の窃取、データの削除などを行うことができます。
攻撃者は、Internet Explorerのこの脆弱性を悪用するWebベースの攻撃ツールを作成する可能性もあります。悪意のあるサイト(標的のユーザーに電子メールでアクセスを勧める内容が送信される可能性があります)にアクセスしたユーザーのシステムは、攻撃者に乗っ取られる可能性があります。
マイクロソフトは、Internet Explorer の緊急パッチはスクリプト エンジンがオブジェクトを処理する方法を変更し、この種の攻撃を防ぐと述べています。
マイクロソフトはより安全なブラウザの開発に取り組んでいる
最近、Microsoftが独自のEdgeHTMLレンダリングエンジンによるGoogleとの競争を断念し、まもなく独自のChromiumベースブラウザをリリースすることが明らかになりました。Microsoftの元社員は、この動きの主な原因はChromeの優位性の高まりと、GoogleがChromeの機能を悪用して特定のウェブサイトを競合ブラウザで動作させないようにしていることだと非難しました。
Chromeは既に最も安全なブラウザとして広く認識されていますが、Microsoftのブラウザはどちらも長年にわたりセキュリティ問題を抱えてきました。Edgeでさえ、レガシーサポートのためにInternet Explorer 11のレンダリングエンジンを統合していることを悪用した攻撃に対して脆弱であることがよくあります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
しかし、MicrosoftはChromiumを採用しますが、それ自体が安全なコードベースであるにもかかわらず、オープンソースのChromiumコミュニティやGoogleがリリースするアップデートや、Microsoftのカスタムユーザーインターフェースに発生する可能性のあるバグにも対応する必要があります。Chromiumをベースにブラウザを開発している他社が、Google Chromeが使用している最新バージョンから数ヶ月遅れたバージョンのChromiumを使用しているケースがよく見られます。
つまり、これらのブラウザには数ヶ月前から既知のセキュリティ問題が依然として存在し続けるということです。攻撃者は、まずGoogleが最新バージョンのChromeで修正するバグの種類を注意深く観察することで、この状況を悪用し、その後、Microsoftの新しいブラウザでそれらのバグを悪用する可能性があります。
Microsoft が、Google と足並みを揃えてアップデートをリリースするか、他のセキュリティ強化機能を使用するか、またはデフォルトで Windows Sandbox でブラウザをサンドボックス化する (これは同社が Windows のエンタープライズ バージョン上の Edge ブラウザで既に行っていること) などして、この問題に適切に対処する方法を見つけるかどうかは、時が経てばわかるだろう。
