Microsoftによる火曜日の定例パッチが今週に迫っている。しかし、複数のパッチの中で「Internet Explorer(IE)」に存在する最新のゼロデイエクスプロイトの脆弱性は修正されないもようだ。
Microsoftは米国時間2012年12月29日、「IE 6」「IE 7」「IE 8」に存在するゼロデイ脆弱性について、攻撃者が「Windows」コンピュータの制御を奪い、悪意あるウェブサイトのホストを可能にするものだと警告した。同社はアドバイザリの中で「IE 9」と「IE 10」はこの脆弱性の影響を受けないと述べ、古いブラウザバージョンを実行しているユーザーに向けたさまざまな対策を提案した。
Microsoftは31日、ユーザーがブラウザの設定を調整しなくてもこの脆弱性が悪用されるのを防止する暫定的な修正を公開した。同社は、この修正は実際のセキュリティアップデートの代わりになるものではないと警告したが、同社が永続的な修正を開発していることを明らかにした。
Microsoft Trustworthy Computingでグループマネージャーを務めるDustin Childs氏は1月4日、米CNETへの声明で「われわれはセキュリティアドバイザリ2794220に記載された問題のセキュリティアップデートに積極的に取り組んでいる」と述べた。
「現時点で、影響を受けた顧客は限定的であることを確認した」とChilds氏は付け加えた。「われわれは顧客保護を非常に重く受け止め、セキュリティアップデートが公開されるまでは、セキュリティアドバイザリ2794220で提供されたワンクリックの「Fix it」ソリューションを適用して保護を確実にすることをユーザーに推奨している。また、脅威に対する防御を強化するために、使用中のマルウェア対策ソリューションを最新の状態にして、ネットワークの安全性に関するプラクティス(ファイアウォールを有効にするなど)に従ってほしい」(同氏)
この脆弱性は、ユーザーが悪意あるウェブサイトにとばされたときにのみ悪用される可能性がある。電子メールやインスタントメッセージを利用した手口が一般的だ。このためユーザーはいつものように、電子メールやIMに含まれている疑わしいリンクを開くときは注意を要する。
今週公開される7つのパッチのうち、2つは緊急なものとされている。つまり、ユーザーが悪意あるウェブページや電子メールを開くと、脆弱性のあるPC上で攻撃者によるマルウェアのリモート実行を許してしまう可能性がある。 「Windows Update」を自動的にインストールするよう設定されていれば、緊急のパッチは自動的に適用される。
2つの緊急のパッチが影響するのは、「Windows」「Office」「Microsoft Developer Tools」「Microsoft Server Software」だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス