10/01/22 20:28:23
米Microsoftは1月21日(日本時間22日)、定例外のセキュリティ更新プログラム1件を臨時公開し、Internet Explorer(IE)の深刻な
脆弱性を解決した。この脆弱性は、Googleなど特定組織を狙った標的型攻撃に利用されており、Microsoftはできるだけ早く更新
プログラムを適用するようユーザーに呼び掛けている。
IE用の累積的なセキュリティ更新プログラム「MS10-002」では、標的型攻撃に利用されていた「HTMLオブジェクトのメモリ破損の
脆弱性」を含め、計8件の脆弱性に対処した。
影響を受けるのはIE 5.01~IE 8までの各バージョン。安定した悪用コードが作成される可能性も高く、深刻度はすべて最大の「緊急」
となっている。この問題を突いて細工を施したWebページをユーザーが表示すると、リモートでコードを実行される恐れがあるという。
なお、Microsoftセキュリティ対策センター(MSRC)のブログによれば、この脆弱性を悪用した攻撃は、「mshtml.dll」をレンダリングエンジン
として使っているOutlookなどのアプリケーションを介して仕掛けられる可能性も指摘されている。しかし、これらのアプリケーションに
脆弱性があるわけではないとMicrosoftは強調。今回のIEの更新プログラムを適用すれば、すべてのアプリケーションにかかわる
脆弱性が解決されると説明している。
実はこの脆弱性に関する情報は2009年9月に非公開でMicrosoftに伝えられており、更新プログラムは当初、2月の月例リリースに
含める予定だったことも明らかにした。
URLリンク(www.itmedia.co.jp)