マイクロソフトのWindows MSHTMLの脆弱性 CVE-2024-43461がゼロデイ攻撃に悪用

マイクロソフトのWindows MSHTMLの脆弱性 CVE-2024-43461がゼロデイ攻撃に悪用

マイクロソフトのWindows MSHTMLの脆弱性 CVE-2024-43461がゼロデイ攻撃に悪用されていた事を公式が発表しました。なおこの脆弱性は2024年9月のマイクロソフトの定例アップデートで修正されています。

脆弱性 CVE-2024-43461の概要

脆弱性 CVE-2024-43461は、Internet Explorer のレンダリング エンジンで使用される主要コンポーネントである Windows MSHTML プラットフォームのなりすましの脆弱性です。

脅威アクターは MSHTML の解析動作を操作し、実際にはそうではないのに、正当なソースとやり取りしているとユーザーを騙して信じ込ませることができます。

この脆弱性は、Microsoft の 2024 年 7 月のセキュリティ更新プログラムで修正された CVE-2024-38112 を含む複数の脆弱性に関連しているようで、

当時、CVE-2024-38112 のパッチは攻撃を緩和すると考えられていましたが、脅威アクターが修正を回避する方法を見つけ、ユーザーが脆弱な状態になっています。

TOPへ