マイクロソフト、IE 6〜8のゼロデイ脆弱性を修正:緊急アップデートで対処
マイクロソフトは1月15日、Internet Explorer(IE)6〜8に存在する脆弱性を修正する更新プログラム(MS12-077)を緊急公開した。
マイクロソフトは1月15日、Internet Explorer(IE)6〜8に存在する脆弱性を修正する更新プログラム(MS12-077)を緊急公開した。すでにこの脆弱性を悪用した攻撃が確認されていることから、早期の適用を推奨している。
この脆弱性は、2012年12月末に指摘されていた問題だ。IE 6〜8のメモリ利用に不備があり、細工が施されたWebサイトにアクセスするだけで任意のコードを実行され、IEを不正終了させたり、手元のPCを乗っ取られてしまうおそれがある。深刻度は、マイクロソフトの4段階評価のうち最も高い「緊急」。なお、IE 9、10にはこの脆弱性は影響しない。
マイクロソフトでは、限定的ながらもこの脆弱性を悪用した攻撃が確認されているとし、早期の適用を推奨している。ただし互換性の問題から、先にIE用の累積的なセキュリティ更新プログラム「MS12-077」を適用してほしいという。
なお同社はこれに先立ち、脆弱性に対する暫定的な対策として、「Microsoft Fix it 50971」を公開していた。ただ、これをインストールしているとパフォーマンスに影響が生じる可能性があることから、MS12-077の適用後、Fix it 50971を無効化する「Microsoft Fix it 50972」をインストールするよう進めている。
ちなみにFix it 50971については、NTTデータ先端技術が、たとえFix itを適用していても、EMETを使用しない設定では攻撃を回避できないことを実証するレポートを公表していた。
Copyright © ITmedia, Inc. All Rights Reserved.