Microsoftは米国時間13日、「Internet Explorer(IE)」ユーザーに対するオンライン攻撃に悪用されている、Windowsの「緊急」レベルの脆弱性を修復するパッチをリリースした。
Microsoftは、月例パッチリリースの一環として公開したセキュリティ情報「MS05-054」のなかで同パッチの提供を行った。今回のアップデートは、WindowsのウェブブラウザコンポーネントであるIEに存在する、ほかの3件のセキュリティホールにも対応している。このうち1件がやはり「緊急」レベルと認定されているが、Microsoftによると、同脆弱性を悪用した悪質なコードはまだ流通していないという。
Microsoftはセキュリティ情報の中で「攻撃者がこれらの深刻な脆弱性の悪用に成功した場合、対象となったシステムの完全な支配権を奪うことが可能になる」と警告し、前述した2件のIEの脆弱性に言及した。これらの脆弱性は、Windowsのすべてのエディションでサポートされている、同ブラウザの現行の全バージョンに存在している。
このたびのブラウザセキュリティアップデートは、Sony BMG Music Entertainmentの「rootkit」問題が及ぼした影響の一端にも対処しており、同レコードレーベルがrootkitのアンインストールのため配布した旧式のActiveXコントロールを、動作不能にできるという。このActiveXコントロールは、先に物議を醸した違法コピー対策ツールによる問題を解消するものだが、同ソフトウェア自体にセキュリティ上の脆弱性があることが判明していた。
Microsoftがパッチをリリースしたことで、セキュリティプロバイダSymantecは、同社が運用する世界的なセキュリティ脅威評価指数「ThreatCon」を「Level 2」へ引き上げた。これは、攻撃が発生するおそれがあるということを意味する。
攻撃者はこれらの脆弱性を悪用した悪質なウェブサイトを構築し、コンピュータの所有者が同サイトを閲覧した場合は、脆弱なPCにコードを自動的にダウンロードして実行する。Microsoftは、こうした攻撃はシステム所有者が気づかないうちに起こる可能性があると注意を促している。
Symantec Security ResponseのシニアマネージャーOliver Friedrichsは、「これらの脆弱性を悪用して脆弱なコンピュータに悪質なソフトウェアをインストールし、オンライン詐欺を行うケースが次第に増えている」と声明の中で述べ、「Symantecは、こうした脆弱性の一部を悪用した攻撃をすでに検知しており、ユーザーにはなるべく早急にアップデートを適用するよう勧めている」と続けた。
深刻な脆弱性のうち1件は、IEが特定のDOM(Document Object Model)オブジェクトを処理する方法に存在するもので、問題の発覚は今年5月にさかのぼる。専門家は当時、同問題が悪用されたとしても、IEのクラッシュにつながるDoS(Denial of Service:サービス拒否)攻撃が起こる程度だと認識していた。しかし11月に入り、同脆弱性が脆弱なコンピュータ上でリモートからコードを実行するのに用いられ得ることが明らかになり、専門家が同問題に対する警鐘を鳴らす結果となった。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」