Microsoft自身も、これらのセキュリティホールを悪用して、脆弱なシステムに悪質なコードをダウンロードする動きが活発化していることに関し、警告を発していた。セキュリティ監視企業Secuniaは、今回の問題を同社の認定レベルの最上位である「非常に深刻」なものとしているが、こうした認定が下されることは非常に稀だ。
米国時間13日にパッチがリリースされたIEの深刻なバグの2番目のものは、Microsoftが7月、8月、10月のセキュリティ情報で詳述した問題と似通っている。同社によれば、今回のアップデートを適用すると、IEとIEによって不適切に呼び出されるMicrosoftソフトウェアのほかのコンポーネントとのリンクを断ち切ることができるという。こうしてコンポーネントを呼び出すことで、システムが攻撃の脅威にさらされていた。
危険度の低いその他の脆弱性とは
セキュリティ情報で開示されたその他2件のIEのセキュリティホールは、上述のものと比較すると危険度は低いとMicrosoftは述べている。これらのうち1件は、IEがファイルのダウンロード時にダイアログボックスを表示する方法に関係したものだ。Microsoftは、この問題によって、悪質なウェブサイトを閲覧したPCユーザーが、悪質なコードを実行してしまうおそれがあるとしている。
もう一方は、サイト(多くは「https」で始まるアドレスを持つ)との通信が暗号化されている場合でも、攻撃者がPCユーザーの閲覧しているサイトを把握できるという問題だ。Microsoftによると、システム所有者が特定のプロキシサーバを経由してインターネットに接続した際に、この問題が起こるという。
IE以外では、Windows 2000における特権の昇格に関した脆弱性を修復するパッチがリリースされている。攻撃者はこの脆弱性を悪用して、対象システムの完全な支配権を奪うことができるが、マシンに対するローカルアクセスを有していることが条件となると、Microsoftのセキュリティ情報「MS05-055」には記載されている。
Microsoftはこれらのパッチを適用するよう、ユーザーに促している。「Windows Automatic Updates」といった同社のパッチ適用メカニズムを利用しているユーザーは特に作業をしなくても問題ないが、その他のユーザーは公式サイトからパッチをダウンロードし、マシンにインストールする必要があるという。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
2024年、スマートウォッチはどう変わる?--AI機能強化、デザインも変化か 
「ストリートビュー」が捉えたクレイジーすぎる光景38連発 
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル