マイクロソフト、IE用パッチを臨時リリース--iFrameの脆弱性を修正

　Microsoftは1日（米国時間）、Internet Explorer（IE）の脆弱性を修正するパッチをリリースした。この脆弱性は1カ月前に見つかり、ウイルス感染やバナー広告攻撃に悪用されていたものだ。

　これまでiFrame脆弱性と呼ばれていたこの脆弱性について、MicrosoftではInternet Explorer Elementsの欠陥という呼び方をしている。この問題は、ユーザーが管理者権限でログインすると、そのユーザーのPCが攻撃者に乗っ取られるおそれがあるというもの。大半の個人ユーザーは、管理者権限でWindowsにログインしている。なお、この脆弱性はMicrosoftのWindows XP Service Pack 2（SP2）を適用済みのシステムには影響しない。

　Microsoftの関係者は、この脆弱性を利用した悪質なソフトウェアが、WindowsユーザーのPCに侵入する事件がすでに起きているため、Microsoftはこのアップデートを次回の月例パッチ公開日（12月7日）を待たずに公開した、と説明している。

　Microsoftのセキュリティ対応センターでセキュリティプログラムマネージャーを努めるStephen Toulouseは、「我々は顧客に影響が及んでいる場合や、活発な攻撃が見られる場合などには、臨時にパッチをリリースする」と述べた。

　この脆弱性が悪用されると、ユーザーが単純なリンクをクリックした際に、攻撃者にコンピュータを乗っ取られるおそれがある。攻撃者はそのコンピュータの完全な権限を入手できるので、プログラムのインストールやデータの閲覧／変更／削除、新規アカウントの作成などを行なえてしまう。

　この脆弱性に関するニュースがセキュリティ関連の公開メーリングリストに最初に投稿されてから、今回パッチがリリースされるまでに、1カ月以上の時間が経過している。Microsoftはこの投稿を批判し、公開フォーラムに問題を発表する前に、同社に問題修正の時間を少なくとも30日与えるようセキュリティ研究者らに説得することとなった。

　このIEの欠陥は、オンライン犯罪者らがユーザーのコンピュータを乗っ取るために、最新の脆弱性を積極的に利用していることを浮き彫りにした。

　11月始めにインターネット上に出現した2つのコンピュータウイルスは、IEの脆弱性を利用し、ユーザーが単純なウェブリンクをクリックするとPCに感染する仕組みになっていた。ウイルス対策メーカー各社がBofra.AとBofra.Bと呼ぶこれらのウイルスは、MyDoomのソースコードをベースにつくられたものだった。

　さらに先週には、広告配信企業Falkのサーバのうち、少なくとも1台がオンライン侵入者に乗っ取られ、同社のサービス顧客が攻撃を受けるという事件があった。対象となった顧客には、IT関連ニュースサイトのThe Registerなどが含まれていた。

　IE Elementsの欠陥は、IEバージョン6がインストールされているコンピュータに影響する。ただしSP2にアップグレードされたコンピュータには影響がない。Windows XPの最新バージョンとなるSP2は、これまでに1億3000万回以上ダウンロードされたとMicrosoftのToulouseは述べている。