10/01/21 20:15:43
米Microsoftは米太平洋時間の1月21日午前10時(日本時間で22日午前3時)ごろ、Internet Explorer(IE)の脆弱性を修正する
ための臨時パッチを公開する。事前告知サイトで明らかにした。
この脆弱性はGoogleに対するサイバー攻撃に利用されていたことが分かり、悪用コードも公開されるなど影響が広がっていた。
Windows 7/IE 8を含むWindowsとIEの主要バージョンすべてについて深刻度「緊急」と評価されている。
Microsoftセキュリティ対策センター(MSRC)のブログによると、現在出回っている悪用コードが通用するのはIE 6に対してのみ
だという。
また、不正プログラム実行阻止機能のDEP(Data Execution Prevention)をかわしてしまうコンセプト実証(PoC)コードも新たに
公開されたが、Microsoftの分析によれば、Windows Vista以降のWindowsではメモリ領域でのセキュリティ技術の
Address Space Layout Randomization(ASLR)による保護でこれに対抗できる。しかし、Windows XPに対してはこのPoCで実
証された手口で攻撃が成立してしまう可能性が高いとしている。
さらに、Outlook、Outlook Express、Windows Live Mailがこの脆弱性の影響を受けるとの情報も出回っていると指摘。
デフォルトの設定でこれら製品を使っている場合、今回の脆弱性を突いた攻撃に遭う可能性は低いが、HTMLメールの
処理に関する設定を変更している場合はリスクが高くなるという。
IEの臨時パッチでは、これらの全製品にかかわる問題を解決する予定だとしている。
URLリンク(www.itmedia.co.jp)