マイクロソフトは2日、ゼロデイ攻撃が発覚した Internet Explorer(IE)の深刻な脆弱性を修正する、セキュリティ更新プログラム(パッチ)を公開した。Windowsの自動更新が有効になっていれば、自動的に適用される。
今回公開されたセキュリティ更新プログラム「MS14-021」は、ベクター形式の画像処理を行うIEのライブラリー「VGX.DLL」に存在する、開放したメモリーにアクセスしてしまう問題1件を解消する。この脆弱性は、悪用されると細工されたWebページを閲覧するだけでウイルスに感染し、パソコンを乗っ取られてしまうおそれがあり、ウイルス感染への悪用事例がすでに確認されていた。
影響を受けるのは、Windows 8/8.1/7/Vista/XPおよびWindows Server上のIE 6/7/8/9/10/11。Windows XPについては、すでにサポートを終了しているが、いまだに利用者が非常に多いことを受け、今回は特別な措置としてIE 6/7/8のXP用パッチを提供したのだという。同社では、XPユーザーに対し、Windows 8.1 などへの最新のWindowsに早急に移行することを強く求めている。
なお、セキュリティアドバイザリ(2963983)で示されていた回避策のひとつ「VGX.DLL 上の Access Control List (ACL) を修正する」を適用している場合には、セキュリティ更新プログラムをインストールする前に解除する必要があるので、注意していただきたい。該当者は、セキュリティ情報「MS14-021」の [更新プログラムに関するFAQ] を参照していただきたい。
他の回避策については、事前に解除しておく必要はないが、回避策の適用によって受けた機能制限等を回復するためには、インストール前または後に、回避策を解除する必要がある。
(2014/05/02 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・マイクロソフト セキュリティ情報 MS14-021 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms14-021
・セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開
http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx