米国 Microsoft は9月の月例パッチをリリースしてわずか1週間後の9月17日、Internet Explorer(IE)の新たな脆弱性を報告した。

Microsoft は新たに公開したアドバイザリで、IE にリモートコードの実行が可能な脆弱性が存在していることを警告している。

「削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトに Internet Explorer がアクセスする方法にこの脆弱性が存在する。この脆弱性により、メモリが破損し、攻撃者が Internet Explorer の現在のユーザーのコンテキストで任意のコードを実行する可能性がある」

Microsoft、IE の深刻な脆弱性を報告 ― 今すぐ Fix it の適用を
これは深刻な問題だ。だが、正式なパッチはまだリリースされていない。代わりに、Microsoft はリスクを軽減する「Fix it」を提供している。Fix it は Microsoft のアップデート機構で自動インストールされることはないため、手動での適用が必要だ。

Qualys の CTO である Wolfgang Kandek 氏は、この脆弱性を悪用した標的型攻撃は、現時点では日本でのみ確認されていると語った。だが Microsoft がアドバイザリを公開した以上、事態は変化する可能性がある。

「他の攻撃者は状況を分析し、脆弱性を突く同等のツールをすぐに開発するだろう。もしインターネットへのアクセスで IE を利用しているならば、Fix it の適用をお勧めする」

攻撃が確認されているのは、現時点では Windows XP または Winodws 7 で動作している IE 8 と IE 9。だが、他のバージョンの IE もこの脆弱性の影響を受けるという。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。