(編集部注:初出時に「臨時パッチを20日にリリース」とお伝えしましたが、正しくは「臨時パッチのリリース日を20日に公表する」となります。訂正ならびにお詫びいたします。)
Internet Explorer(IE)の未修正の脆弱性を突いた攻撃が発生している問題で、米Microsoftはこの脆弱性を修正するための臨時パッチをリリースする方針を決めた。リリース予定は米国時間1月20日に公表の予定。19日のセキュリティ対策センターブログで明らかにした。
この脆弱性は、Googleに対するサイバー攻撃に利用されていたことが分かり、悪用コードも公開されるなど、影響が広がっていた。Microsoftはこの問題が注目を浴び、ユーザーがどう対処すべきかをめぐって混乱が生じ、危険度が増大する環境にあることを考慮して、月例パッチを待たずに臨時パッチで対処することにしたとしている。
Microsoftは当面の攻撃回避策として、IE上で不正なプログラムが実行されるのを防ぐためのDEP(Data Execution Prevention)機能を有効にすることなどを挙げ、DEFがデフォルトで有効になっているIE 8へのアップグレードを勧告している。しかし仏セキュリティ企業のVUPENが、DEPをかわす方法が見つかったと発表するなど状況は変わりつつある。
また米Websenseは、過去に見つかったIEの脆弱性はWebサイトを閲覧しただけでマルウェアに感染させる攻撃に利用されており、今回の脆弱性もこうした大規模攻撃につながるのは時間の問題だと指摘。先の週末には限定的ながらこの脆弱性が公に利用され、不正ページをホスティングしているサイトが見つかったと伝えている。
関連記事
- 独仏政府がIEの利用中止を勧告、「攻撃は限定的」とMSが反論
Google攻撃に使われたIEの脆弱性悪用コードが公開されたことを受け、波紋が広がっている。 - IEの脆弱性を狙うコードが出回る、Google攻撃にも利用
Google攻撃に使われたIEの脆弱性悪用コードがインターネットで公開され、攻撃拡大の恐れが強まった。 - IEを狙う攻撃への回避策
Internet Explorerに存在する未修正の脆弱性を狙う攻撃が確認されたことを受けて、国内のセキュリティ機関も回避策などを緊急情報として公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.