[UPDATE] Microsoftが臨時パッチを準備中であることを公式に認めた。公式な公開日はまだ公表されていない。
Microsoftは、進行中の標的型攻撃とInternet Explorerに存在する「ブラウズしただけで乗っ取られる」攻撃コードが公表された事態に対応するため、IEに対する臨時パッチをまもなく公表するとほのめかし始めている。
臨時アップデートは、同社がすべての影響のあるバージョンのWindowsに対する適切な検証を経た上でリリースされる。早ければ、1月第4週の週末にもリリースされる可能性がある。
Microsoftが定期的にリリースしている月例パッチの時期を外してパッチを公表するという判断は、攻撃ツールであるMetasploitに攻撃コードが組み込まれたことを受けたものだ。
Metasploitの攻撃コードが有効なのはInternet Explorer 6だけだが、セキュリティ研究コミュニティではこの脆弱性が、Windows XPとIE6の組み合わせ以外にIE7(Windows Vista)でも利用できたという話も出ている。
この脆弱性は、Google、Adobe、Juniper Networksを含む多数の有名米国企業に対するゼロデイ攻撃の中で明らかになったものだ。これらの攻撃では、データを盗むマルウェアで、Windows XP上でIE6を動かしているシステムに対して問題のセキュリティホールが利用された。
Microsoftは現在進行中の攻撃は依然として「非常に限られた数の企業を標的に」しており、Internet Explorer 6に対してしか有効ではないと述べている。しかし、Metasploitに攻撃コードが組み込まれてしまった以上、より新しいバージョンのInternet Explorerに対しても有効な攻撃コードを作成し始めるマルウェア制作者が出る可能性はある。
Microsoftは顧客に対し、ただちにIE8にアップグレードするよう要請している。この脆弱性の影響を緩和し、攻撃を避ける方法に関する情報を提供するため、特別にガイダンスページが公開されている。
MicrosoftのSecurity Research & Defenseチームは、古いバージョンのIEで1クリックでDEP(Data Execution Prevention)を有効にするための「Fix It」ツールを作って公開している。攻撃を緩和するために重要な役割を果たすDEPは、IE8でしかデフォルトで有効になっていない。
以下は、Metasploitの攻撃コードが動作しているところを示した動画だ。
The "Aurora" IE Exploit in Action from The Crew of Praetorian Prefect on Vimeo.
*この動画はPeraetorian Prefectが提供したもの。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
