Microsoft、IEの脆弱性に関するアドバイザリ公開 回避策の適用を

[鈴木聖子，ITmedia]

　Internet Explorer（IE）に新たな脆弱性が発覚した問題で、米Microsoftは9月17日にアドバイザリを公開して脆弱性の存在を確認し、当面の攻撃を防ぐための回避策を紹介した。

　アドバイザリによると、IEが削除されたオブジェクト、または適切に割り当てられていないオブジェクトにアクセスする方法に、脆弱性が存在する。この問題を悪用すると、攻撃者が細工を施したWebサイトをユーザーに閲覧させ、任意のコードを実行できてしまう可能性がある。

　脆弱性はIE 7／8／9に存在し、標的型攻撃の発生も確認されている。なお、間もなく登場予定のWindows 8に搭載されるIE 10はこの問題の影響を受けないという。

　Microsoftは調査が完了次第、月例更新プログラム、または定例外の更新プログラムを通じてこの脆弱性に対処する方針。

　当面の攻撃を防ぐための対策としては、「Enhanced Mitigation Experience Toolkit」（EMET）というツールの利用を挙げている。同ツールはWebサイトの使用感に影響を及ぼすことなく利用できるはずだという。ただし現時点でEMETに対するサポートは限定されており、英語のみでの利用となる。

　このほかに、「インターネットおよびローカルイントラネットセキュリティゾーンの設定を『高』にして、ActiveXコントロールとActive Scriptingをブロックする」、「インターネットおよびイントラネットゾーンで、Active Scriptingの実行前にダイアログを表示するようにIEを構成する」などの回避策も紹介している。

　この問題をめぐって米SANS Internet Storm Centerなどは、IEの脆弱性が解決されるまでの対策として、ChromeやFirefoxなど別のWebブラウザに切り替えることを勧めている。ドイツ政府の情報セキュリティ当局もIEの脆弱性について警告を出し、別ブラウザの利用を促しているという。