マイクロソフト、IE 6〜8のゼロデイ脆弱性を修正緊急アップデートで対処

マイクロソフトは1月15日、Internet Explorer(IE)6〜8に存在する脆弱性を修正する更新プログラム(MS12-077)を緊急公開した。

» 2013年01月15日 16時00分 公開
[@IT]

 マイクロソフトは1月15日、Internet Explorer(IE)6〜8に存在する脆弱性を修正する更新プログラム(MS12-077)を緊急公開した。すでにこの脆弱性を悪用した攻撃が確認されていることから、早期の適用を推奨している。

 この脆弱性は、2012年12月末に指摘されていた問題だ。IE 6〜8のメモリ利用に不備があり、細工が施されたWebサイトにアクセスするだけで任意のコードを実行され、IEを不正終了させたり、手元のPCを乗っ取られてしまうおそれがある。深刻度は、マイクロソフトの4段階評価のうち最も高い「緊急」。なお、IE 9、10にはこの脆弱性は影響しない。

 マイクロソフトでは、限定的ながらもこの脆弱性を悪用した攻撃が確認されているとし、早期の適用を推奨している。ただし互換性の問題から、先にIE用の累積的なセキュリティ更新プログラム「MS12-077」を適用してほしいという。

 なお同社はこれに先立ち、脆弱性に対する暫定的な対策として、「Microsoft Fix it 50971」を公開していた。ただ、これをインストールしているとパフォーマンスに影響が生じる可能性があることから、MS12-077の適用後、Fix it 50971を無効化する「Microsoft Fix it 50972」をインストールするよう進めている。

 ちなみにFix it 50971については、NTTデータ先端技術が、たとえFix itを適用していても、EMETを使用しない設定では攻撃を回避できないことを実証するレポートを公表していた。

NTTデータ先端技術による検証のシナリオ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。