Microsoftはつい最近、Internet Explorer(IE)ブラウザのパッチをリリースしたばかりだが、しかしオンライン犯罪者がウェブユーザーのコンピュータ上で悪質なプログラムを実行できる別の方法がコンピュータ科学者の手で発見されたことから、Microsoftのこのパッチの欠点が浮き彫りにされることになった。
Microsoftは2日(米国時間)、IEのなかに存在する3つの欠陥のうち、1つからコンピュータを保護する修正パッチをリリースした。この3つの欠陥は、同時に悪用されるとブラウザ経由でPCのセキュリティ機能をすり抜けられてしまう、というものだ。しかし、あるセキュリティ研究者は先週末、同様のことに悪用される可能性があり、まだMicrosoftがパッチをリリースしていない別の欠陥を発見した。
「Microsoftは問題の一部分にしか対処しなかった。彼らは、こういうことが起こるのを想定すべきだった」と、オランダのコンピュータ科学専攻の学生で、このセキュリティ迂回方法のコードを公開したJelmer Kuperusは述べている。
研究者がIEのセキュリティ問題を公表し、Microsoftがその対応に追われることになったのは、この1カ月でこれが3度目だ。Kuperusは6月始めに、それまで知られていなかった2つの脆弱性と、最近パッチがリリースされた脆弱性とを合わせて悪用し、被害者のコンピュータにアドウェアをインストールするウェブサイトを発見した。さらにセキュリティ研究者らは先週、Microsoftが初期のIEバージョンでは修正済みだった危険度の低い脆弱性が、最新バージョンのブラウザに再び存在していることを発見していた。
Microsoftは今回の問題を認め、さらに別の修正パッチをまもなくリリースすると述べている。
「わが社は現在、数週間中にInternet Explorerの一連のセキュリティアップデートを提供するために動いている。このセキュリティアップデートは、顧客の保護を強化するためのものだ」と同社の関係者はCNET News.comに対して語った。
最も最近発見された欠陥は新しいものではなく、セキュリティ研究者らが最初にこの問題を検討したのは今年の1月だった、とKuperusは言う。これは当初、あまり深刻なものとは考えられていなかった。だが、6月はじめに見つかった他の2つの欠陥と合わせて悪用されると、重大な問題を引き起こすことが分かった。つまり、この3つの欠陥が合わせて悪用し、IEが動いているWindowsコンピュータに簡単にアクセスできてしまうのだ。
「現在見つかっている攻撃例の大半は複数の脆弱性を悪用したもので、1つひとつの脆弱性がIEの特定のセキュリティ機能の迂回に使われている。これらの脆弱性は、単独ではかなり無害なものが多いが、組み合わされると重大な危険性をもつ」(Kuperus)
パッチがリリースされた欠陥も、新たに見つかった脆弱性も、いずれもActiveXというコンポーネントとスクリプト機能のライブラリの中に存在する。最初の脆弱性はADODB.Streamにあったが、最新の脆弱性はApplication.Shellコンポーネントに存在する。
Microsoftではユーザーに対し、同社ウェブサイトの「Protect Your PC」で最新情報を入手することを薦めている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
注目集めた指輪型にEV、「主役」はスマホからAIへ--MWC Barcelona 2024振り返り、日本企業は存在感高められるか .jpeg)
存在しないはずの「ターミナル0」が羽田に出現、なぜ?--異業種連携で「未来の空港」を研究開発へ 
「Android」スマホのホーム画面を手軽に効率化する5つの方法