マイクロソフトは15日、Internet Explorerに脆弱性が存在することを明らかにし、アドバイザリを公開した。また同日、昨年12月にGoogleなど複数の企業が標的型攻撃を受けた件において、この脆弱性が使われていたことを明らかにした。
アドバイザリによると、脆弱性は、Windows 2000上のIE6と、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003上のIE6/7/8に影響する。Windows 2000上のIE5.01は影響を受けない。
この脆弱性は無効なポインタ参照に起因するもので、悪用すると任意のコードを実行することが可能。これまでに、IE6を使った限定的な攻撃が確認されているという。修正プログラムは現在開発中。
マイクロソフトでは、この問題の回避策として、IEでインターネットゾーンのセキュリティ設定を「高」にすることと、IE6/7でDEP(Data Execution Prevention:データ実行防止機能)を有効にすることを挙げている。IE8では、デフォルトでDEPが有効となっている。また、不審なリンクをクリックしないよう十分気をつけたい。
(2010/01/15 ネットセキュリティニュース)
■ マイクロソフト セキュリティ アドバイザリ (979352)(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx
■ Security Advisory 979352 Released[英文](MSRC)
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx
■ Microsoft Internet Explorer には、任意のコードが実行される脆弱性があります。(JVN)
http://jvn.jp/cert/JVNVU492515/index.html