Microsoftは30日(米国時間)、Internet Explorer(IE)に存在する3つの重大な脆弱性をふさぐパッチをリリースした。これらの脆弱性のうち、1つは「Download.Ject」というトロイの木馬ウイルスで悪用されていたものだ。
同社は7月に、この脆弱性を回避する設定変更用パッチをリリースしており、最近では包括的なパッチを近日中に提供すると発表していた。同社はまた警察当局と協力し、悪質なコードの出所であったロシアのサーバを閉鎖した。
今回リリースされたパッチは問題のセキュリティホールをふさぐもので、Microsoftのセキュリティウェブサイトからダウンロードできる。同社では全IEユーザに対し、ブラウザをアップデートするよう推奨している。この欠陥は専門的には「クロスドメインの脆弱性」と呼ばれるもので、これを悪用した攻撃者はブラウザのセキュリティ境界を越え、悪質なコードを送付・実行できてしまう。
Microsoftでは、6月末にこの脆弱性が悪用されたことが判明した時点で、すでにこの問題を修正するIEのアップデート作成に取り組んでいたと、同社のセキュリティプログラムマネージャーStephen Toulouseは述べている。
またこのパッチは、他に2つの欠陥も修正する。これらの脆弱性はいずれも画像処理に関するもので、影響を受けるシステム上で悪質なコードが実行される恐れがあるため、「緊急」レベルに評価されていた。
Microsoftではこの2つの欠陥に関連する攻撃があったことは把握していないが、「顧客は、自分の利用するPCを保護するために、このアップデートを必ず適用してほしい」とToulouseは述べた。
セキュリティ対策ソフトメーカーのSymantecでも、ウェブユーザーにこのパッチを適用することを推奨している。
「Microsoft Internet Explorerは企業および消費者の間で広く普及しており、このセキュリティパッチを即時に適用することは非常に重要だ」と、Symantec Security ResponseのシニアディレクターAlfred Hugerは声明を発表している。
Toulouseは、まもなくリリースされるWindows XP Service Pack 2(SP2)には機能を強化したIEが同梱されると指摘し、SP2ではIEの内部構造に変更が加えられているため、この攻撃に関する脆弱性は存在しないと付け加えた。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」