Microsoftは1日(米国時間)、Internet Explorer(IE)の脆弱性を修正するパッチをリリースした。この脆弱性は1カ月前に見つかり、ウイルス感染やバナー広告攻撃に悪用されていたものだ。
これまでiFrame脆弱性と呼ばれていたこの脆弱性について、MicrosoftではInternet Explorer Elementsの欠陥という呼び方をしている。この問題は、ユーザーが管理者権限でログインすると、そのユーザーのPCが攻撃者に乗っ取られるおそれがあるというもの。大半の個人ユーザーは、管理者権限でWindowsにログインしている。なお、この脆弱性はMicrosoftのWindows XP Service Pack 2(SP2)を適用済みのシステムには影響しない。
Microsoftの関係者は、この脆弱性を利用した悪質なソフトウェアが、WindowsユーザーのPCに侵入する事件がすでに起きているため、Microsoftはこのアップデートを次回の月例パッチ公開日(12月7日)を待たずに公開した、と説明している。
Microsoftのセキュリティ対応センターでセキュリティプログラムマネージャーを努めるStephen Toulouseは、「我々は顧客に影響が及んでいる場合や、活発な攻撃が見られる場合などには、臨時にパッチをリリースする」と述べた。
この脆弱性が悪用されると、ユーザーが単純なリンクをクリックした際に、攻撃者にコンピュータを乗っ取られるおそれがある。攻撃者はそのコンピュータの完全な権限を入手できるので、プログラムのインストールやデータの閲覧/変更/削除、新規アカウントの作成などを行なえてしまう。
この脆弱性に関するニュースがセキュリティ関連の公開メーリングリストに最初に投稿されてから、今回パッチがリリースされるまでに、1カ月以上の時間が経過している。Microsoftはこの投稿を批判し、公開フォーラムに問題を発表する前に、同社に問題修正の時間を少なくとも30日与えるようセキュリティ研究者らに説得することとなった。
このIEの欠陥は、オンライン犯罪者らがユーザーのコンピュータを乗っ取るために、最新の脆弱性を積極的に利用していることを浮き彫りにした。
11月始めにインターネット上に出現した2つのコンピュータウイルスは、IEの脆弱性を利用し、ユーザーが単純なウェブリンクをクリックするとPCに感染する仕組みになっていた。ウイルス対策メーカー各社がBofra.AとBofra.Bと呼ぶこれらのウイルスは、MyDoomのソースコードをベースにつくられたものだった。
さらに先週には、広告配信企業Falkのサーバのうち、少なくとも1台がオンライン侵入者に乗っ取られ、同社のサービス顧客が攻撃を受けるという事件があった。対象となった顧客には、IT関連ニュースサイトのThe Registerなどが含まれていた。
IE Elementsの欠陥は、IEバージョン6がインストールされているコンピュータに影響する。ただしSP2にアップグレードされたコンピュータには影響がない。Windows XPの最新バージョンとなるSP2は、これまでに1億3000万回以上ダウンロードされたとMicrosoftのToulouseは述べている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」