Microsoftは米国時間4月11日、Internet Explorer(IE)に存在する10カ所の「緊急」な脆弱性を修正するパッチを公開したが、これらの脆弱性の中には、すでにサイバー攻撃に悪用されて注目を集めているバグも含まれている。
Microsoftは、毎月第2火曜日に実施する月例パッチリリースの一環として、今回のIE用アップデートを公開した。さらに同社は、Windowsに見つかった「緊急」な脆弱性2件、Outlook Expressの「重要な」脆弱性1件、FrontPageとSharePointのコンポーネントにある脆弱性1件(深刻度は「警告」レベル)をそれぞれ修正するパッチもリリースした。
セキュリティベンダーのQualysでプロダクトマネージャを務めるJonathan Bitle氏は、今回パッチがリリースされた脆弱性について、「これは大きな余波を伴う大規模なものだ。5件のうち3件--IEとWindowsにある脆弱性は特に重要だ。これらは経験の浅いユーザーをだますのに利用される可能性がある・・・ワームが拡大する可能性は少ないが、ユーザーが簡単にだまされて悪質なウェブページを訪れてしまう可能性はある」と述べている。
このIEアップデートで修正される10件の脆弱性のうち、8件にはパッチが適用されていないIEが動作するWindowsマシンを完全に乗っ取る目的に悪用されるおそれがある。いずれの場合も、攻撃者が悪質なウェブサイトをつくり、だまされてアクセスしてきたユーザーのPCに侵入するのに使われる可能性があると、Microsoftは「Security Bulletin MS06-013」のなかで述べている。
Microsoftでは、これらの脆弱性がIE 5およびIE 6に影響するとしており、深刻度を「緊急」に分類している。同社によると、Windows OSのすべての現行バージョン--Windows 2000、Windows XP、Windows Server 2003のほか、古いWindows 98やWindows Millennium Editionで動くIEにもこれらの脆弱性が存在するという。
「これらの脆弱性の最も深刻な部分をうまく悪用すれば、攻撃者が脆弱性の影響を受けるシステムを完全に乗っ取ることができてしまう。今回公開したパッチをすぐに適用してほしい」とMicrosoftは注意を呼びかけている。なお、自動アップデートを有効にしているWindowsユーザーにはこれらのパッチが送信されてくる。
Microsoftは、IEの脆弱性の1つがすでに悪用されていたため、修正パッチを11日より前に出す必要性に迫られていた。この「CreateTextRange」の脆弱性については、それに対処するサードパーティー製の暫定パッチまで登場していた。この脆弱性は、悪質なウェブサイトでスパイウェアなどを脆弱なPCに忍び込ませるのに悪用されていたと専門家は説明している。
Microsoftのセキュリティ勧告によると、今回リリースされたパッチで修正される10件の脆弱性のうち、3件はすでに公にされていたものだという。ただし、攻撃目的で悪用されたのはCreateTextRangeの欠陥だけだと、同社は述べている。
しかし、Symantecが入手している情報では、Microsoftがパッチをリリースする前に攻撃に悪用された欠陥がすでに3件あったという。Symantec Security ResponseのOliver Friedrichs氏は声明のなかで、攻撃は今後も続きそうだと述べている。「最新のSymantec Internet Security Threat Reportによると、セキュリティパッチがリリースされてからエクスプロイトコードが開発されるまで平均6日間の時間がある」(Friedrichs氏)
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス