Microsoft自身も、これらのセキュリティホールを悪用して、脆弱なシステムに悪質なコードをダウンロードする動きが活発化していることに関し、警告を発していた。セキュリティ監視企業Secuniaは、今回の問題を同社の認定レベルの最上位である「非常に深刻」なものとしているが、こうした認定が下されることは非常に稀だ。
米国時間13日にパッチがリリースされたIEの深刻なバグの2番目のものは、Microsoftが7月、8月、10月のセキュリティ情報で詳述した問題と似通っている。同社によれば、今回のアップデートを適用すると、IEとIEによって不適切に呼び出されるMicrosoftソフトウェアのほかのコンポーネントとのリンクを断ち切ることができるという。こうしてコンポーネントを呼び出すことで、システムが攻撃の脅威にさらされていた。
危険度の低いその他の脆弱性とは
セキュリティ情報で開示されたその他2件のIEのセキュリティホールは、上述のものと比較すると危険度は低いとMicrosoftは述べている。これらのうち1件は、IEがファイルのダウンロード時にダイアログボックスを表示する方法に関係したものだ。Microsoftは、この問題によって、悪質なウェブサイトを閲覧したPCユーザーが、悪質なコードを実行してしまうおそれがあるとしている。
もう一方は、サイト(多くは「https」で始まるアドレスを持つ)との通信が暗号化されている場合でも、攻撃者がPCユーザーの閲覧しているサイトを把握できるという問題だ。Microsoftによると、システム所有者が特定のプロキシサーバを経由してインターネットに接続した際に、この問題が起こるという。
IE以外では、Windows 2000における特権の昇格に関した脆弱性を修復するパッチがリリースされている。攻撃者はこの脆弱性を悪用して、対象システムの完全な支配権を奪うことができるが、マシンに対するローカルアクセスを有していることが条件となると、Microsoftのセキュリティ情報「MS05-055」には記載されている。
Microsoftはこれらのパッチを適用するよう、ユーザーに促している。「Windows Automatic Updates」といった同社のパッチ適用メカニズムを利用しているユーザーは特に作業をしなくても問題ないが、その他のユーザーは公式サイトからパッチをダウンロードし、マシンにインストールする必要があるという。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果