MS、月例パッチ前にVML脆弱性を修正か--攻撃の急増で

　Microsoftは、月例パッチリリースの前に「Internet Explorer」のセキュリティアップデートを行うかもしれない。

　このアップデートは、ウェブブラウザが特定のグラフィックファイルを処理する部分にある深刻な脆弱性を修正するもの。この脆弱性が最初に明らかになったのは先週のことで、セキュリティ専門家が米国時間9月25日に警告したところによると、これを利用したIEユーザーへの攻撃は急増しているという。

　Microsoftの関係者は22日、「アップデートに向け、ノンストップで作業を進めている」と同社ブログで記している。同関係者によると、パッチは現在テスト段階に入っており、次に予定されているMicrosoftの月例パッチリリース日（10月10日）の前に完成した場合は、これを待たずにリリースされるだろうという。

　セキュリティ企業のWebsenseは9月25日、この脆弱性を突いた攻撃は広がっており、現在では、ユーザーを悪意あるウェブサイトに誘導するための電子メールも登場している、と報告した。「われわれは、コードを悪用するスクリプトをホスティングしているウェブサイトに誘導する大量のメールも確認している」とWebsenseは述べている。

　ある例では、グリーティングカードを利用してこの脆弱性を悪用しようとする攻撃者もいるという。この場合、一見するとグリーティングカードのようにみえる電子メールが使われている。だが、カードを見るためにリンクをクリックすると、悪意あるウェブサイトに誘導され、キーロギングソフトウェアのインストールが気付かれないように試みられる。

　このIEの脆弱性は、“vgx.dll”といわれるWindowsコンポーネントに存在する。このコンポーネントは、OSにあるVector Markup Language（VML）ドキュメントをサポートするもの。VMLはウェブ上で高品質ベクターグラフィックを実現する際に利用される。