米Microsoftは米太平洋時間の1月21日午前10時(日本時間で22日午前3時)ごろ、Internet Explorer(IE)の脆弱性を修正するための臨時パッチを公開する。事前告知サイトで明らかにした。
この脆弱性はGoogleに対するサイバー攻撃に利用されていたことが分かり、悪用コードも公開されるなど影響が広がっていた。Windows 7/IE 8を含むWindowsとIEの主要バージョンすべてについて深刻度「緊急」と評価されている。
Microsoftセキュリティ対策センター(MSRC)のブログによると、現在出回っている悪用コードが通用するのはIE 6に対してのみだという。また、不正プログラム実行阻止機能のDEP(Data Execution Prevention)をかわしてしまうコンセプト実証(PoC)コードも新たに公開されたが、Microsoftの分析によれば、Windows Vista以降のWindowsではメモリ領域でのセキュリティ技術のAddress Space Layout Randomization(ASLR)による保護でこれに対抗できる。しかし、Windows XPに対してはこのPoCで実証された手口で攻撃が成立してしまう可能性が高いとしている。
さらに、Outlook、Outlook Express、Windows Live Mailがこの脆弱性の影響を受けるとの情報も出回っていると指摘。デフォルトの設定でこれら製品を使っている場合、今回の脆弱性を突いた攻撃に遭う可能性は低いが、HTMLメールの処理に関する設定を変更している場合はリスクが高くなるという。
IEの臨時パッチでは、これらの全製品にかかわる問題を解決する予定だとしている。
関連記事
- MicrosoftがIEの臨時パッチを公開へ、脆弱性問題に対応
MicrosoftはIEの脆弱性に臨時パッチで対処することを決めた。 - IEの脆弱性を狙うコードが出回る、Google攻撃にも利用
Google攻撃に使われたIEの脆弱性悪用コードがインターネットで公開され、攻撃拡大の恐れが強まった。 - Googleへのサイバー攻撃はIEの脆弱性を悪用――McAfeeが調査
Googleに使われた悪質コードを調べたところ、IEの一般には知られていない脆弱性を突いたものが見つかったという。 - IEを狙う攻撃への回避策
Internet Explorerに存在する未修正の脆弱性を狙う攻撃が確認されたことを受けて、国内のセキュリティ機関も回避策などを緊急情報として公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.