マイクロソフトは31日、Internet Explorer(IE)の脆弱性10件を修正する更新プログラムを、定例外で緊急公開した。
修正された脆弱性のうち1件(CVE-2010-0806)は、今月初めに始まったゼロデイ攻撃で発覚したもの。10日には同社からアドバイザリが公開されたが、その後も主に中国方面からとみられる攻撃が急速に拡大。国内の掲示板サイトや改ざんサイトから誘導され、この脆弱性を悪用した攻撃を受ける事例も見つかっている。
今回公開されたセキュリティパッチでは、このほかに非公開で報告された脆弱性9件が修正されている。いずれも悪用などは確認されていないが、うち8件はコード実行の可能性のある危険な脆弱性だ。ゼロデイ攻撃を受ける心配のなかったIE8にも、緊急2件と重要1件が影響するので、自動更新やMicrosoft Updateなどで必ずアップデートしていただきたい。
なお、ゼロデイ攻撃用に実施した回避策は、アップデートしても自動的に実施前の状態には戻らないので、必要に応じて元の状態に戻すこともお忘れなく。たとえば「ピアファクトリクラス」を無効にしたままだと、印刷やWebフォルダーで支障が出る可能性がある。サポート技術情報(981374)の自動設定ルーツ「Fix it」で変更した設定に関しては、同じページにある「この解決策を無効にする」を実行すると、元に戻すことができる。
(ネットセキュリティニュース 2010/03/31)
■2010年3月のセキュリティ情報(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-mar.mspx
■MS10-018 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (980182)(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-018.mspx
■サポート技術情報(981374)(マイクロソフト)
http://support.microsoft.com/kb/981374
■Active Exploitation of CVE-2010-0806[英文](Microsoft Malware Protection Center)
http://blogs.technet.com/mmpc/archive/2010/03/30/active-exploitation-of-cve-2010-0806.aspx