パッチ火曜日ではありませんが、Microsoft は、すぐに適用する必要がある Internet Explorer の重要な更新プログラムをリリースしました。
マイクロソフトは先週の月例パッチに含まれる13件のセキュリティ情報にInternet Explorerの累積的なアップデートを組み込み、このアップデートも「緊急」と評価されました。しかしその後、新たな脆弱性を狙った攻撃が実際に確認されたため、マイクロソフトはアウトオブバンドアップデートで対応しました。
MicrosoftからのアップデートはFix-Itツールであり、実際のパッチというよりは応急処置的なものです。Fix-Itを適用することで、Internet Explorerが保護され、現在蔓延している脆弱性攻撃がシステム上で実行されるのを防ぐことができます。
Lumensionのセキュリティおよびフォレンジックアナリスト、ポール・ヘンリー氏は、この脅威の潜在的な影響範囲を限定する緩和要因はいくつかあるが、多くのユーザーにとってそれらはあまり慰めにはならないかもしれないと述べている。「残念なことに、このパッチは非常に広範囲に及ぶもので、XPからRTまで、あらゆるオペレーティングシステムのすべてのIEバージョンに影響を及ぼすということです」とヘンリー氏は語る。「さらに悪いニュースは、一般ユーザーもこの脆弱性の影響を受ける可能性が高いということです。」
Microsoftは、Internet Explorerをセキュリティ強化構成モードで実行することで、この攻撃を阻止できると主張しています。Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、およびWindows Server 2012 R2では、Internet Explorerはデフォルトでこの制限モードで動作します。
Microsoftは、Outlook、Outlook Express、Windows Mailのサポート対象バージョンすべてにデフォルトで保護が含まれていると述べています。HTMLメールはデフォルトで制限付きサイトセキュリティゾーンで開かれ、エクスプロイトの実行に必要なスクリプトとActiveXコントロールが無効化されます。
ただし、Microsoftは、Outlookの保護機能はOutlook自体のHTMLメッセージにのみ適用されると警告しています。ユーザーがリンク付きのメールを受信してクリックした場合、脅威はWebベースになり、Outlookの外部で機能するため、依然として潜在的な脆弱性が存在します。
「平均的なユーザーは、制限付きサイトモードを実行したり、セキュリティ強化構成を使用したりしておらず、フィッシングメールを軽々しくクリックしてしまいます」とヘンリー氏は説明します。「パッチを適用するまでは、緩和策を講じるとともに、ユーザーにこのことを伝え、悪意のあるリンクをクリックする可能性を減らすことをお勧めします。MicrosoftからIE向けのアウトオブバンドパッチがリリースされてからしばらく経ちますが、それでもできるだけ早く適用することが重要です。」
「Internet Explorer 11のプレビュー版を含むすべてのバージョンのIEが影響を受けることを改めて強調しておきます」と、Tripwireのセキュリティ研究開発担当テクニカルマネージャー、タイラー・レグリー氏は述べています。「現在攻撃が発生しているため、Microsoftができるだけ早くパッチをリリースすることは、すべての人にとって最善の利益です。それまでの間、Microsoftがリリースしたパッチをインストールしてください。」
彼はさらに、「Microsoft Fix itソリューションに慣れていない技術に詳しくないユーザーにとっては、パッチが利用可能になるまで別のブラウザを使用するのが最善の選択肢です」と付け加えた。
追加の注意事項: Fix-It ソリューションは 32 ビット バージョンの Internet Explorer でのみ機能し、まず先週の Patch Tuesday (MS13-069) の Internet Explorer の累積的な更新プログラムを適用する必要があります。
