IE 6〜11に未解決のゼロデイ脆弱性、Microsoftがアドバイザリ公開

[佐藤由紀子，ITmedia]

　米MicrosoftのInternet Explorer（IE）6〜11に未解決の脆弱性が見つかった。Microsoftは4月26日（現地時間）、この脆弱性に関するアドバイザリーを公開し、注意を呼び掛けている。

　対象となるのはほぼすべてのWindows OS（Windows 8.1、Windows Server 2012 R2などを含む）上のIE。なお、MicrosoftはWindows XPのサポートを終了している。

　米セキュリティ企業のFireEyeは、この脆弱性を利用した攻撃を確認した。同社が「Operation Clandestine Fox」と名付けたこの攻撃の対象はIE 9〜11という。

　脆弱性は、削除されたメモリや適切に割り当てられていないメモリ内のオブジェクトにIEがアクセスする方法に存在する。悪用された場合、多数のユーザーが利用する正規のWebサイトを改ざんしたり、ユーザーをだましてメールなどのリンクをクリックさせたりする手口を通じて不正なコンテンツを仕込んだWebサイトを閲覧させ、リモートで任意のコードを実行される恐れがあるという。

　Microsoftは調査が完了した時点で月例または臨時更新プログラムを公開して修正する予定としている。当面の対策としては、Enhanced Mitigation Experience Toolkit（EMET） 4.1およびEMET 5.0 Technical Previewの適用が有効だという。また、IE 10および11の場合、拡張保護モードを有効にすると影響が緩和されるという。

　FireEyeが確認した攻撃はFlashを利用していることから、同社はFlashプラグインの無効化を推奨している。