マイクロソフト、IEの脆弱性を修正する緊急パッチをリリース

　Microsoftは30日（米国時間）、Internet Explorer（IE）に存在する3つの重大な脆弱性をふさぐパッチをリリースした。これらの脆弱性のうち、1つは「Download.Ject」というトロイの木馬ウイルスで悪用されていたものだ。

　同社は7月に、この脆弱性を回避する設定変更用パッチをリリースしており、最近では包括的なパッチを近日中に提供すると発表していた。同社はまた警察当局と協力し、悪質なコードの出所であったロシアのサーバを閉鎖した。

　今回リリースされたパッチは問題のセキュリティホールをふさぐもので、Microsoftのセキュリティウェブサイトからダウンロードできる。同社では全IEユーザに対し、ブラウザをアップデートするよう推奨している。この欠陥は専門的には「クロスドメインの脆弱性」と呼ばれるもので、これを悪用した攻撃者はブラウザのセキュリティ境界を越え、悪質なコードを送付・実行できてしまう。

　Microsoftでは、6月末にこの脆弱性が悪用されたことが判明した時点で、すでにこの問題を修正するIEのアップデート作成に取り組んでいたと、同社のセキュリティプログラムマネージャーStephen Toulouseは述べている。

　またこのパッチは、他に2つの欠陥も修正する。これらの脆弱性はいずれも画像処理に関するもので、影響を受けるシステム上で悪質なコードが実行される恐れがあるため、「緊急」レベルに評価されていた。

　Microsoftではこの2つの欠陥に関連する攻撃があったことは把握していないが、「顧客は、自分の利用するPCを保護するために、このアップデートを必ず適用してほしい」とToulouseは述べた。

　セキュリティ対策ソフトメーカーのSymantecでも、ウェブユーザーにこのパッチを適用することを推奨している。

　「Microsoft Internet Explorerは企業および消費者の間で広く普及しており、このセキュリティパッチを即時に適用することは非常に重要だ」と、Symantec Security ResponseのシニアディレクターAlfred Hugerは声明を発表している。

　Toulouseは、まもなくリリースされるWindows XP Service Pack 2（SP2）には機能を強化したIEが同梱されると指摘し、SP2ではIEの内部構造に変更が加えられているため、この攻撃に関する脆弱性は存在しないと付け加えた。