Internet Explorer脆弱性の緊急アップデート公開：サポート切れのXPも対象に

[前橋豪，ITmedia]

　日本マイクロソフトは5月2日、Internet Explorer（IE）の脆弱（ぜいじゃく）性を修正する緊急のセキュリティ更新プログラム（KB2964358／MS14-021）を公開した。Windows Updateなどを通じて配布する。

　対象はWindows XP（SP3）からWindows 8.1 UpdateまでにインストールされたIE 6〜11。2014年4月9日にサポートを終了したWindows XPとIE 6にも特例として更新プログラムを提供するが、同社は新バージョンのWindowsへの速やかな移行を推奨している。

　今回修正される脆弱性は、米Microsoftが2014年4月26日（現地時間）に公開したもの。削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトへIEがアクセスする方法に問題が存在する。これにより、悪意あるサイトや改ざんされたサイトにユーザーがアクセスすることで、リモートで任意のプログラムを実行され、場合によっては個人情報を抜き取られたり、ユーザーのPCが別の攻撃への踏み台に使われる恐れもある。

　問題がWindows PCを利用するほぼすべてのユーザーに及ぶこともあり、この脆弱性が明らかになってからは国内外で大きな話題となっており、米セキュリティ企業のFireEyeはこの脆弱性を悪用したゼロデイ攻撃「Clandestine Fox」の発見をブログで報告していた。

セキュリティ更新プログラム（KB2964358／MS14-021）はWindows Updateからダウンロードしてインストールできる（画像＝左）。特例としてWindows XPとIE6も更新の対象となっている（画像＝右）