Status Tracking Note JVNTR-2008-08

Microsoft Internet Explorer のデータバインディング処理における脆弱性 (TA08-352A)

概要

Microsoft Internet Explorer には、データバインディング処理の中に不正ポインタを参照する脆弱性が存在します。結果として、遠隔の第三者によって任意のコードを実行される可能性があります。
時系列イベント


日時 (JST)内容
2008-12-24 07:50 シマンテック
ThreatCON (2) => (1)
2008-12-20 02:16 SANS Internet Storm Center
IE bug being exploited by Word Documents
2008-12-18 14:46 IPA/ISEC
Internet Explorer の脆弱性(MS08-078)について
2008-12-18 10:11 JPCERT/CC
JPCERT-AT-2008-0023: Microsoft Internet Explorer の脆弱性 (MS08-078) に関する注意喚起
2008-12-18 10:08 @police
マイクロソフト社のセキュリティ修正プログラムについて(MS08-078)(12/18)
2008-12-18 09:37 マイクロソフト
マイクロソフト セキュリティ アドバイザリ (961051): Internet Explorer の脆弱性により、リモートでコードが実行される
マイクロソフトは脆弱性について公開された報告の調査を完了し、この問題に対処する MS08-078 公開を報告。
2008-12-18 09:32 マイクロソフト
MS08-DEC: セキュリティ情報 2008 年 12 月定例外のセキュリティ情報
メーリングリスト経由で受信
2008-12-18 07:31 ITmedia
直ちに適用を:MS、IEの緊急パッチ「MS08-078」を公開
MicrosoftがIEの深刻な脆弱性を解決する緊急パッチ「MS08-078」を公開した。先に公開された「MS08-073」と併せ、直ちに適用することが望ましい。
2008-12-18 06:03 US-CERT
TA08-316A: Microsoft Internet Explorer Data Binding Vulnerability
US-CERT メーリングリスト経由で Technical Cyber Security Alert 受信
2008-12-18 05:22 シマンテック
ThreatCON (2) => (2)
IE の脆弱性を除去するセキュリティアップデートをリリース
2008-12-18 04:57 SANS Internet Storm Center
Internet Explorer 960714 is released
2008-12-18 02:39 US-CERT
Microsoft Releases Security Bulletin MS08-078
US-CERT Current Activity として定例外セキュリティ情報を報告
2008-12-18 ITpro
IEの「緊急」パッチが公開,すぐに適用を
「累積パッチ」ではないので注意
2008-12-17 10:50 マイクロソフト
MS08-DEC: セキュリティ情報の事前通知 - 2008 年 12 月 (定例外)
メーリングリスト経由で受信
2008-12-17 07:40 ITmedia
正規サイトの改ざんで被害拡大:Microsoft、18日にIEの臨時パッチ公開
Microsoftがゼロデイの脆弱性を解決する臨時パッチの公開を決めた。攻撃は拡大の一途。正規サイトやポルノサイトに悪用コードが仕掛けられている。
2008-12-17 05:23 SANS Internet Storm Center
Microsoft announces an out of band patch for IE zero day
Microsoft has announced that they will be releasing an out of cycle security bulletin tomorrow for the IE zero day.
2008-12-17 ITpro
IEの修正パッチ,12月18日に緊急リリース
2008-12-15 17:17 US-CERT
Microsoft Releases Security Advisory (961051)
US-CERT Current Activity として Internet Explorer 7 の新たな脆弱性を報告
2008-12-15 08:31 ITmedia
IE 8のβ版にも:IEの未解決の脆弱性は全バージョンに影響
ゼロデイの脆弱性はIE 7だけでなく、IE 8 β2も含む全バージョンに影響することが分かった。
2008-12-15 ITpro
パッチが提供されないIEの脆弱性,「IE7以外も影響,回避策は複数」
2008-12-15 Bugtraq
MS Internet Explorer XML Parsing Buffer Overflow Exploit (allinone)
ポインター参照のメモリ破損の脆弱性 (CVE-2008-4844, MS08-078)
#Cid: 32721-krafty.html
#Tested: Windows XP SP2 + IE 7
#Tested: Windows XP SP3 + IE 7
#Tested: Windows Vista + IE 7
#Tested: cpe:/o:microsoft:windows_xp::sp2 + cpe:/a:microsoft:ie:7
#Tested: cpe:/o:microsoft:windows_xp::sp3 + cpe:/a:microsoft:ie:7
#Tested: cpe:/o:microsoft:windows_vista + cpe:/a:microsoft:ie:7
2008-12-14 05:36 SANS Internet Storm Center
The continuing IE saga - workarounds
2008-12-13 09:19 トレンドマイクロ
IE Zero-Day Follow-Up: Now Featuring Mass SQL Injections
TrendLabs | Malware Blog - by Trend Micro
2008-12-13 04:38 マイクロソフト
マイクロソフト セキュリティ アドバイザリ (961051): Internet Explorer の脆弱性により、リモートでコードが実行される
Microsoft Internet Explorer 5.01 Service Pack 4、Internet Explorer 6 Service Pack 1、Internet Explorer 6 および Windows Internet Explorer 8 Beta 2 が影響を受ける可能性のあるソフトウェアであることを報告
2008-12-12 21:37 SANS Internet Storm Center
IE7 0day expanded to include IE6 and IE8(beta) (Version: 2)
2008-12-12 13:10 IBM インターネット セキュリティ システムズ
Microsoft Internet Explorer での Span タグによるコード実行
2008-12-12 11:22 マイクロソフト
マイクロソフト セキュリティ アドバイザリ (961051): Internet Explorer の脆弱性により、リモートでコードが実行される
アドバイザリを公開
Internet Explorer の新たな脆弱性に対する攻撃が一般に報告され、マイクロソフトはその報告を現在調査中
2008-12-12 10:00 SANS Internet Storm Center
MSIE 0-day Spreading Via SQL Injection
2008-12-12 08:19 ITmedia
SQLインジェクション攻撃も発生:MSがIE 7の脆弱性を確認、アドバイザリーを公開
IE 7の脆弱性問題でMicrosoftがアドバイザリーを公開した。SANSによれば、サイトに不正コードを仕掛けるSQLインジェクション攻撃も発生している。
2008-12-12 05:00 IBM インターネットセキュリティシステムズ
AlertCon (1) => (2)
2008-12-12 ITpro
正規サイトに「ゼロデイ攻撃」のわな,IEの新しい脆弱性を狙う
2008-12-11 18:50 SANS Internet Storm Center
0-day exploit for Internet Explorer in the wild (Version: 3)
2008-12-11 18:48 Shadowserver
IE7 0-Day Exploit Gets Worse
2008-12-11 08:55 シマンテック
ThreatCON (1) => (2)
IE と WordPad の未知脆弱性を対象とした侵害活動を報告
2008-12-11 08:03 ITmedia
中国のサイトで感染の疑い:IE 7にゼロデイの脆弱性、月例パッチでは未解決
Windows XP SP3で動作するIE 7に極めて深刻な脆弱性が確認された。主に中国でWebサイトを介して感染を広げている模様だ。
2008-12-11 トレンドマイクロ
IE7の未修正のセキュリティホールへの攻撃を確認(JS_DLOAD.MD)
Trend Micro Security Blog (ウイルス解析担当者による トレンドマイクロ セキュリティ ブログ)
2008-12-11 ITpro
「IE」のぜい弱性を突く新たなゼロディ攻撃が出現,SANSが警告
2008-12-10 21:22 Shadowserver
IE7 0-Day Exploit Sites
2008-12-10 トレンドマイクロ
JS_DLOAD.MD
ポインター参照のメモリ破損の脆弱性 (CVE-2008-4844, MS08-078) の悪用
2008-12-10 Bugtraq
MS Internet Explorer XML Parsing Buffer Overflow Exploit (vista) 0day
ポインター参照のメモリ破損の脆弱性 (CVE-2008-4844, MS08-078)
#Cid: 32721-vista.html
#Tested: Windows Vista SP1 + IE 7.0.6001.18000
#Tested: Windows Vista SP0 + IE 7.0.6000.16386
#Tested: cpe:/o:microsoft:windows_vista::sp1 + cpe:/a:microsoft:ie:7.0.6001.18000
#Tested: cpe:/o:microsoft:windows_vista::sp0 + cpe:/a:microsoft:ie:7.0.6000.16386
2008-12-10 Bugtraq
MS Internet Explorer XML Parsing Remote Buffer Overflow Exploit 0day
ポインター参照のメモリ破損の脆弱性 (CVE-2008-4844, MS08-078)
#Cid: 2008-iesploit.tar.gz
#Tested: Windows XP SP3 + IE 7.0.5730.13
#Tested: cpe:/o:microsoft:windows_xp::sp3 + cpe:/a:microsoft:ie:7.0.5730.13

参考情報

登録日 (JST): 2008-12-15T03:15+09:00
更新日 (JST): 2008-12-28T19:01+09:00