株式会社カスペルスキーは7月22日、Internet Explorerのゼロデイ脆弱性について、解説記事を同社ブログで発表した。
Microsoftが2024年7月にリリースした月例セキュリティパッチ「パッチチューズデー」では、4つのゼロデイ脆弱性を含む142件の脆弱性が明らかとなった。4つのゼロデイ脆弱性のうち2つはすでに公に知られていたが、残りの2つは攻撃者によって積極的に悪用されていた。うち1つのゼロデイ脆弱性は、Microsoftが2015年に開発を中止し、2023年2月に「確実に、絶対に「葬り去る」と約束したInternet Explorer」で見つかり、過去1年半にわたりパスワードを盗むために使われてきたとみられている。
Microsoftは2023年当時、最後の「お別れ」アップデートでシステムからブラウザを削除したのではなく、単に無効にしただけで、その上、Windowsのすべてのバージョンで無効になったわけではなかった。ユーザーはInternet Explorerを単体のアプリとしては使用できないが、システム内には残っており、Internet Explorerで見つかった新しい脆弱性は、何年も使用していないユーザーであっても、すべてのWindowsのユーザーに脅威をもたらす可能性がある。
発見されたInternet Explorerのゼロデイ脆弱性 CVE-2024-38112は、Internet Explorerを動かすMSHTMLブラウザエンジンの欠陥で、CVSS v3スケールで10段階中7.5、深刻度は「高」と評価されている。
同脆弱性を悪用するには、攻撃者は一見何の変哲もない「mhtml」から始まるインターネットショートカットファイル (.url) を作成する必要があり、ユーザーがこのファイルを開くと、デフォルトのブラウザではなくInternet Explorerが起動する。
同ブログでは、攻撃者がどのようにCVE-2024-38112を悪用したのか、同脆弱性が発見された攻撃をもとに解説を行っている。
なお、Microsoftでは同脆弱性を2024年7月のパッチで修正しており、パッチが適用されていればInternet ExplorerではなくEdgeで開かれるようになる。
同ブログではCVE-2024-38112について、「「葬られた 」ブラウザーが当分の間Windowsユーザーにつきまとい続けていることを再び気づかされました。 」と評している。
