マイクロソフトは22日、Internet Explorer(IE)の深刻な脆弱性8件を修正する更新プログラムを、定例外で緊急公開した。
このうち7件は未公開の脆弱性で、マイクロソフトは悪用報告はないとしている。だが、残り1件の脆弱性は、攻撃コードが一般に公開されており、昨年12月にGoogleなど複数の企業が標的型攻撃を受けた際に利用された。
さらに現在は、不特定多数を対象に、この脆弱性を突いた攻撃が行われていることが判明(下記IBMのページ参照)。このため、現在進行形で同時多発的に起こっているサイト改ざんへの悪用が懸念される状況だった。
更新対象となるのは、Windows7を含む全てのWindowsのIE5.01/6/7/8で、深刻度はいずれも危険性が最も高い「緊急」となっている。Windows Server 2003 のサポートされているエディションのIE6のみ「警告」レベルだ。
修正されたのは、ゼロデイ攻撃に悪用されたHTMLオブジェクトのメモリ破損の問題のほか、IE8において情報漏えいにつながる恐れのあるXSSフィルターのスクリプト処理、攻撃者の侵入や乗っ取りを許してしまうIEのURL検証力の脆弱性、初期化されていないメモリの破損などで、これらの問題点が解決された。
これまでのことろ、実際に脆弱性を突かれた攻撃コードはIE 6用だけだが、脆弱性はIE5.01 6/7/8とそのコンポーネントを利用しているアプリケーション全てに影響する。つまり、どのバージョンも攻略される危険があるわけで、IEユーザーはただちに更新を行いたい。
(2010/01/22 ネットセキュリティニュース)
■2010年1月のセキュリティ情報(2010年1月22日更新)(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx
■不特定多数を対象としたMicrosoft Internet Explorerのゼロデイ脆弱性を狙う攻撃(IBM)
http://www.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1334030?cntxt=a1010214