マイクロソフトは15日、ゼロデイ攻撃が発覚した Internet Explorer(IE)の深刻な脆弱性を修正する、セキュリティ更新プログラム(パッチ)を公開した。Windowsの自動更新が有効になっていれば、自動的にパッチが適用される。
手動でパッチを適用している人は、今回のパッチを適用する前に、互換性の問題が発生するのを防ぐため、2012年12月に公開されたIE用の累積パッチ「MS12-077」を先にインストールしておく必要があるので注意したい。Windowsの自動更新が有効になっていれば、すでに「MS12-077」はインストールされているので問題ない。
公開されたパッチは、Windows 7/Vista/XP/Server 2008/Server 2003上のIE 8/7/6に影響する、深刻度が「緊急」の1件。このパッチにより、IEが解放したメモリーにアクセスしてしまう脆弱性が修正される。IE 9以降にはこの脆弱性は存在しない。
今回修正された脆弱性は、2012年末の段階ですでに悪用が始まっており、細工が施されたサイトを閲覧するだけで、知らない間にウイルスに感染してしまうおそれがあった。
マイクロソフトでは米国時間12月31日、この問題を回避するための「Fix It」を公開して適用を呼びかけていた。今回のパッチは、このFix Itを有効にしたままでも適用できる。ただ、パッチ適用後はFix Itを有効にしておく必要もないため、下記「サポート技術情報(2794220)」にある「MSHTML shim 回避策の無効化」をダウンロード/実行して、Fix It適用前の状態に戻してもかまわない。
(2013/01/15 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・マイクロソフト セキュリティ情報 MS13-008 - 緊急
http://technet.microsoft.com/ja-jp/security/bulletin/MS13-008
・セキュリティアドバイザリ (2794220) の脆弱性を解決する MS13-008 (Internet Explorer) を定例外で公開(日本のセキュリティチームのブログ)
http://blogs.technet.com/b/jpsecurity/archive/2013/01/15/3545836.aspx
・サポート技術情報(2794220)
http://support.microsoft.com/kb/2794220