Microsoftは米国時間1月17日、「Internet Explorer(IE)」の脆弱性に関するセキュリティアドバイザリー(ADV200001)を公開した。これはゼロデイ脆弱性であり、既に悪用されているという。
同アドバイザリーには現在のところ、脆弱性のあるシステムを攻撃から保護するための回避策や緩和策が記されているのみだ。
同社は修正に取り組んでおり、通常のポリシーでは月次アップデートでリリースすることになると述べた。
また同社は、IEのこのゼロデイ脆弱性が現実に悪用されていることを認識しているものの、その「攻撃対象は限定的」だと述べ、大々的に悪用されているわけではなく、限られた数のユーザーを対象とした攻撃に用いられているとの考えを示した。
IEのこのゼロデイ脆弱性を悪用する攻撃は、「Firefox」ユーザーをも対象にしたより大規模なハッキングキャンペーンの一環だと見なされている。
Mozillaは8日、Firefoxユーザーに対する攻撃で悪用されている、類似のゼロデイ脆弱性に対処するパッチを公開した。なおMozillaは、この脆弱性を発見、報告したQihoo 360に謝意を表している。
そして、現時点で削除済みとなっているQihoo 360のツイートには、これらの攻撃者はIEのゼロデイ脆弱性も悪用していると記されていた。このツイートで言及されていたゼロデイ脆弱性が今回のもののようだ。
攻撃者や、この攻撃の性格がどういったものなのかは公開されていない。攻撃についてQihoo 360にコメントを求めたが、回答は得られなかった。
ただ、Microsoftは今回のゼロデイ脆弱性について、IEのスクリプティングエンジン(JavaScriptのコード実行を受け持つコンポーネント)に潜んでいるメモリー破壊バグによって引き起こされるリモートコード実行(RCE)の脆弱性だと説明している。
この問題は、現在サポートされているすべての「Windows」と「Windows Server」に影響する。
なお、このゼロデイ脆弱性には「CVE-2020-0674」という共通脆弱性識別子が割り当てられている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。