主要情報 脆弱性情報: - セキュリティ研究員 Andrew Brooks が報告した脆弱性は、ActiveX を使用しているブラウザ(一般的には Microsoft Internet Explorer)で特製の HTML ドキュメントを開く際に発生する可能性があります。 - この脆弱性を悪用すると、ブラウザのクラッシュを引き起こす可能性があります。 - この攻撃は IntegraXor SCADA サーバー自体には影響しません。 修正対応: - IGX の開発者は報告直後に脆弱性を修正し、翌日に最新バージョンをリリースしました。 - 修正されたバージョンは以下のリンクから取得できます: http://www.integragxor.com/download/beta.msi?4.00.4283 - ビルド 4283 より古いバージョンはこの脆弱性の影響を受けます。ユーザーは、この ActiveX をサポートするブラウザでの脆弱性を修正するために、このバージョンまたはそれ以降の修正バージョンをダウンロードして使用することを推奨します。 回避策: - IntegraXor SCADA エミュレータは標準的な Web 技術のみで構成されており、ActiveX や Java Applet などのプラグインに依存したコンテンツは使用しないようユーザーに注意を促します。 - IntegraXor を実行する際、外部の ActiveX コンテンツ(Web ページ)の受け入れを拒否してください。Firefox、Chrome、または Safari を使用しているユーザーは、この脆弱性の影響を受けません。 インシデントサマリー: - 2012 年 12 月 12 日、ICS CERT が IntegraXor サポートチームに連絡しました。 - 2012 年 12 月 13 日、脆弱性の技術レポートを受領し、POC(概念実証)を確認しました。 - 2012 年 12 月 14 日、ダウンロード用の修正バージョンが公開されました。 - 2013 年 1 月 3 日、セキュリティ研究員が脆弱性が修正されたことを確認し、公開通知を発表しました。