IEのゼロデイ脆弱性、マイクロソフトの次期定例パッチで解決されない見込み

　Microsoftによる火曜日の定例パッチが今週に迫っている。しかし、複数のパッチの中で「Internet Explorer（IE）」に存在する最新のゼロデイエクスプロイトの脆弱性は修正されないもようだ。

　Microsoftは米国時間2012年12月29日、「IE 6」「IE 7」「IE 8」に存在するゼロデイ脆弱性について、攻撃者が「Windows」コンピュータの制御を奪い、悪意あるウェブサイトのホストを可能にするものだと警告した。同社はアドバイザリの中で「IE 9」と「IE 10」はこの脆弱性の影響を受けないと述べ、古いブラウザバージョンを実行しているユーザーに向けたさまざまな対策を提案した。

　Microsoftは31日、ユーザーがブラウザの設定を調整しなくてもこの脆弱性が悪用されるのを防止する暫定的な修正を公開した。同社は、この修正は実際のセキュリティアップデートの代わりになるものではないと警告したが、同社が永続的な修正を開発していることを明らかにした。

　Microsoft Trustworthy Computingでグループマネージャーを務めるDustin Childs氏は1月4日、米CNETへの声明で「われわれはセキュリティアドバイザリ2794220に記載された問題のセキュリティアップデートに積極的に取り組んでいる」と述べた。

　「現時点で、影響を受けた顧客は限定的であることを確認した」とChilds氏は付け加えた。「われわれは顧客保護を非常に重く受け止め、セキュリティアップデートが公開されるまでは、セキュリティアドバイザリ2794220で提供されたワンクリックの「Fix it」ソリューションを適用して保護を確実にすることをユーザーに推奨している。また、脅威に対する防御を強化するために、使用中のマルウェア対策ソリューションを最新の状態にして、ネットワークの安全性に関するプラクティス（ファイアウォールを有効にするなど）に従ってほしい」（同氏）

　この脆弱性は、ユーザーが悪意あるウェブサイトにとばされたときにのみ悪用される可能性がある。電子メールやインスタントメッセージを利用した手口が一般的だ。このためユーザーはいつものように、電子メールやIMに含まれている疑わしいリンクを開くときは注意を要する。

　今週公開される7つのパッチのうち、2つは緊急なものとされている。つまり、ユーザーが悪意あるウェブページや電子メールを開くと、脆弱性のあるPC上で攻撃者によるマルウェアのリモート実行を許してしまう可能性がある。 「Windows Update」を自動的にインストールするよう設定されていれば、緊急のパッチは自動的に適用される。

　2つの緊急のパッチが影響するのは、「Windows」「Office」「Microsoft Developer Tools」「Microsoft Server Software」だ。