マイクロソフトは、金曜日に同社がウェブブラウザの完全なセキュリティアップデートをリリースするまでの暫定措置として、Internet Explorerのワンクリックセキュリティ回避策を公開しました。この新しい「Fix it」ソリューションは、Internet Explorer 6、7、8、9のユーザーを、最近公開されたメモリ破損問題から保護します。この問題は複数のセキュリティ専門家によって実際に使用されていることが確認されています。この脆弱性により、ハッカーはユーザーと同じユーザー権限でシステムにリモートアクセスでき、プログラムのインストールや削除、ファイルの修正、新しいユーザーアカウントの作成などが可能になります。
[関連: Web ブラウザー対決: どの Windows アプリが本当に最高か? ]
ワンクリックソリューションは、この Microsoft サポートドキュメントの「Fix it for me」という見出しから入手できます。Microsoft の Fix it ツールは、有効にすると再起動の必要がなく、自動化された回避策は Web の閲覧機能に影響を与えないと Microsoft は述べています。
セキュリティ企業AlienVaultの研究者は最近、最新のIE脆弱性の亜種が実環境で発見され、ユーザーのコンピュータにリモートアクセス型トロイの木馬(RAT)をインストールしようとすると発表しました。RATはハッカーにコンピュータへのリモートアクセスを許可し、ハードドライブの消去から入力されたすべてのキーストロークのキャプチャまで、あらゆる用途に使用できます。セキュリティ企業Sophosもブログ記事で、ハッカーがIEの脆弱性を悪用する実環境を確認したと述べていますが、ハッカーがこの脆弱性を利用して何をしようとしていたかについては明らかにしていません。
Internet Explorerの最新の脆弱性は、重大な脅威とみなされています。この問題の深刻さを受け、ドイツ政府は火曜日、Microsoftがこの脆弱性に対するセキュリティパッチをリリースするまで、ユーザーにIEの使用を控えるよう強く求めました。Metasploitプロジェクトやセキュリティ企業F-Secureなど、他のセキュリティ専門家も、修正プログラムが公開されるまでIEの使用を控えるよう勧告しています。MicrosoftはFix itツールのリリースに先立ち、潜在的な攻撃を軽減するための、やや非現実的な複数ステップの手動回避策を提案していました。
マイクロソフトは、金曜日のIEのセキュリティアップデートをできるだけ太平洋標準時午前10時に近い時間帯にリリースしたいと述べています。このパッチはWindows Updateから入手できます。自動更新を有効にしている場合は、セキュリティ修正プログラムを入手するために特別な操作を行う必要はありません。また、マイクロソフトは金曜日のアップデートには、メモリ破損の問題に加えて、その他の修正も含まれると述べています。
