マイクロソフトが12日(米時間11日)に公開した「サポート技術情報2488013」に、「Fix It」のダウンロードリンクの誤記載があり、ゼロデイ攻撃の回避策となる「Fix It」が適用されていない可能性がある。機械翻訳された日本語のサポート技術情報、または12日15時半以前の英語のサポート技術情報のページからダウンロードされた方は、英語のサポート技術情報のページから「Fix It」を再度ダウンロードし、適用していただきたい。
この脆弱性は、Internet ExplorerのCSS(Cascading Style Sheets)の処理で、クラッシュやコード実行のおそれがあるという問題。すでにこの脆弱性を悪用した攻撃が始まっており、同社は12日、クラッシュの原因となるCSSファイルの再帰読み込み(CSSファイルが自分自身を読み込む動作)をブロックし、脆弱性の悪用を防ぐ「Fix It」を公開した。
サポート技術情報2488013には、この回避策を適用するための「Fix it 50591」と、それを解除する「Fix it 50592」のダウンロードリンクが記載されていたが、公開当初の記載が、グラフィックレンダリングエンジンの脆弱性を回避する「Fix It」(サポート技術情報2490606)のリンクになっていたため、これを適用してもCSSの脆弱性を悪用したゼロデイ攻撃は回避できない。
英語版のサポート技術情報については、12日15時半(日本時間)に改訂され、正しい「Fix It」へのリンクに修正されているが、日本語のページは14日午後現在も未修整のままなので、この回避策を実施される方は、サポート技術情報の英語ページから「Fix it」をダウンロードしていただきたい。CSSの再帰読み込みを防ぐ「Fix It」は、「MicrosoftFixit50591.msi」というファイル名で、解除する「Fix It」は、「MicrosoftFixit50592.msi」というファイル名でダウンロードされる。
■サポート技術情報2488013[英文]
http://support.microsoft.com/kb/2488013/en-us
■セキュリティアドバイザリ (2488013)
http://www.microsoft.com/japan/technet/security/advisory/2488013.mspx
(2011/01/14 ネットセキュリティニュース)