Microsoftは米国時間3月29日、「Internet Explorer(IE)6」および「IE7」搭載システムへの攻撃で悪用された脆弱性を修正する緊急のアップデートを30日にリリースすることを明らかにした。またこれには、「IE」に関するほかの脆弱性9件の修正も含まれているという。
Microsoftは直近の3月9日に公開した月例更新において「セキュリティアドバイザリ(981374)」をリリースするとともに、一連の攻撃について警告していた。
IEに存在するこのゼロデイ脆弱性により、ユーザーが悪意あるウェブサイトを訪れた場合、攻撃者にマシンの制御を許してしまうおそれがある。「Windows 7」と「IE8」を使用しているユーザーは今回の脆弱性の影響を受けないと、Microsoftは「マイクロソフト セキュリティ情報の事前通知-2010年3月(定例外)」で述べている。ただしThe Microsoft Security Response Center(MSRC)ブログの投稿によると、これはほかの脆弱性9件を含む累積パッチであるため、Windowsの現行バージョンすべてに関係するという。
Qualysで最高技術責任者(CTO)を務めるWolfgang Kandek氏は、ブログ投稿で次のように述べた。「4月13日に予定されている次回の月例更新を待たずにリリースを早めるというMicrosoftの判断は、『iepeers(.dll)』の脆弱性を突いた攻撃が増加傾向にあることを示すものだ。IE6またはIE7を使用しているユーザーは、直ちにパッチをあてる必要がある。だが、IE8を使用している場合でも、なるべく早急にパッチをあてるべきだ。というのも攻撃者は、今回修正された脆弱性のリバースエンジニアリングを開始し、週のうちには対応する悪用コードを用意するとみられるからだ」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ