マイクロソフトは18日、Internet Explorer(IE)の深刻な脆弱性を修正するセキュリティ更新プログラム「MS08-078」を公開した。深刻度は、IE5.01、IE6、IE6(SP1)、IE7について最大の「緊急」で評価されており、IE8 Beta 2にも影響するとしている。同社はMicrosoft Updateなどでただちに更新プログラムを適用するよう勧めている。
今回修正されたのは、IEのデータバインディング関数内のポインターが不正であるために起こる脆弱性。攻撃者が細工したWebページやメールの添付ファイルなどを表示すると、リモートでコードが実行されるおそれがある。
当該脆弱性を突くゼロデイ攻撃は今月9日頃から行われており、同社は11日にセキュリティアドバイザリ(961051)を公開、12日に更新するなどして、影響や回避策をアドバイスしていた。しかし、以降も当該脆弱性を悪用した攻撃が急速な広がりを見せたことから、定例外の緊急リリースとなった。緊急リリースの直近の例としては、今年10月に公開されたServerサービスに関する脆弱性の修正がある。
(2008/12/18 ネットセキュリティニュース)
■マイクロソフト セキュリティ ホーム(マイクロソフト)
http://www.microsoft.com/japan/security/default.mspx
■マイクロソフト セキュリティ情報 MS08-078 - 緊急(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-078.mspx
■Microsoft Update
http://windowsupdate.microsoft.com/