Microsoftは2日(米国時間)、Internet Explorer(IE)に見つかった緊急レベルの欠陥を修正するパッチをリリースした。この欠陥が悪用されると、無用心なユーザーのパソコンが悪質なプログラマに乗っ取られる恐れがある。同社はパッチ配布を月1回にするよう方針を改めているが、今回のパッチリリースはそのスケジュールから外れた緊急度の高いものだ。
この欠陥は、クロスドメインのセキュリティ脆弱性として知られる最も深刻なもので、Windows NT、2000およびXP上で稼動するIEの全バージョンに影響する。脆弱なシステムのユーザーがHTMLメールのリンクをクリックしたり、悪質なウェブサイトを開いたりすると、攻撃者がユーザーのコンピュータ上でコードを実行できてしまう、とMicrosoftは同社の提供するセキュリティ情報で述べている。
同社ではこの問題の深刻さを考慮し、通常のパッチ配布予定日である毎月第2週の火曜日を待たずに、今回のパッチ配布に踏み切った。
「我々は、この脆弱性が広く存在していることを考慮し、顧客がこの脆弱性による影響を受けていると聞いたため、このパッチを配布することにした」と、MicrosoftのSecurity Response Centerでセキュリティプログラムマネージャーを務めるStephen Toulouseは述べている。
今回のアップデートでは、この他にも2つのセキュリティ脆弱性が修正される。そのうち1つは、悪用すると偽のウェブサイトが本物に見えてしまうということで多くの関心を集めた脆弱性だ。「フィッシング」(phishing)として知られるこの問題は、オンラインで詐欺を働こうとする者が、実際のアドレスとは異なる偽のアドレスをユーザーの使うIEのアドレスバーに表示できてしまうというものだ。
この欠陥を悪用した詐欺の典型的な手口は、詐欺師がまず本物のウェブサイトのように見える偽サイトを構築した後、大量の電子メールを送って警戒心のないユーザーをこの偽サイトに誘き寄せるというもの。1月には、詐欺師が米連邦預金保険公社(FDIC)の公式ウェブサイトに似せた偽サイトにユーザーを誘導し、認証確認と称して個人情報を入力させるといった事件が起きている。実際には、この偽サイトはパキスタンにあり、被害者から窃盗をはたらく目的で情報を収集していた。
今回のアップデートで修正される第3の欠陥は、ユーザーが、特別な細工が施されたリンクをクリックすると、悪意のあるウェブサイトやHTMLメールから、ユーザーの許可なくコンピュータにファイルがダウンロードされてしまうというものだ。
MicrosoftはWindowsユーザーに対し、ソフトウェアのアップデートを至急行なうよう推奨している。
Toulouseによると、Microsoftが定めたマンスリーの配布スケジュールから外れたパッチのリリースは滅多にあることではないという。
「我が社の顧客は、スケジュールが予測できることを望んでいるので、我々は月1回のスケジュールを守ることを重視している。しかし、いつも述べているように、顧客を守るためにこのサイクルから外れる必要がある場合には、そうしていくつもりだ」(Toulouse)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス