Latest evidence-based health information
Vision

マイクロソフトの緊急IEパッチについて知っておくべきこと

マイクロソフトの緊急IEパッチについて知っておくべきこと
マイクロソフトの緊急IEパッチについて知っておくべきこと

2010年は今のところ、Microsoft Internet Explorer(IE)ウェブブラウザにとって厳しい年となっています。まだ3月というのに、Microsoftは既に確認されているゼロデイ脆弱性への対策として、2つ目の緊急アウトオブバンドパッチをリリースしました。

マイクロソフトは本日、セキュリティ情報 MS10-018 を公開しました。これは「緊急」と評価された更新プログラムで、Internet Explorer の全バージョンに影響を及ぼす10件の修正プログラムが含まれています。これには、IE6 および IE7 ブラウザへの攻撃に使用されている現在のゼロデイ脆弱性攻撃も含まれます。「iepeers」と呼ばれる IE のゼロデイ脆弱性攻撃のエクスプロイトコードがインターネット上で拡散しています。

Qualys の CTO である Wolfgang Kandek 氏は、「Microsoft が 4 月 13 日の次の Patch Tuesday まで待たずにリリースを早める決定を下したことは、「iepeers」脆弱性に対する攻撃が増加していることを示している」とブログ記事を書いています。

nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、「マイクロソフトは毎月の定期的なパッチ適用サイクルに強くコミットしており、今回のパッチのリリースは、このゼロデイ脆弱性に関連する脅威レベルの高さを明確に示しています。パッチ適用が遅れているユーザーは、コンピュータを乗っ取る可能性のあるリモートコード実行攻撃のリスクにさらされています」と強調しています。

「シマンテックは、このセキュリティホールを介した感染試行が最近急増していることも確認しています。典型的な感染試行プロセスは、正規のウェブサイトに侵入し、その後、ユーザーを悪意のあるサイトへリダイレクトするiframeを挿入するようです」と、シマンテック・セキュリティ・レスポンスのセキュリティインテリジェンスマネージャー、ジョシュア・タルボットは説明します。

nCircle の Storms は、「すべてのユーザーはこの新しいパッチを直ちにインストールする必要があります。まだ IE8 にアップグレードしていない場合は、今が真剣に検討するよい機会です」と述べています。

Kandek 氏もこの評価に同意し、「Internet Explorer 6 および 7 のすべてのユーザーは、これらのバージョンに対する脆弱性が既知であり、さらに広まりつつあるため、直ちにパッチを適用する必要があります」と述べています。

注目すべきは、今回の定例外アップデートの緊急性を高めたゼロデイ脆弱性はIE8には適用されないということです。しかし、このセキュリティ情報では、Internet Explorer 8に影響を与える2つの重大な脆弱性を含む、Internet Explorerのさまざまな脆弱性が修正されています。

Kandek 氏は、「IT 管理者は、2 週間後の次の Patch Tuesday でのみ IE8 にパッチを適用するリスクを負うことができるか、それとも、パッチ適用を早めに行って 2 回のパッチ デーを別々に開催するコストを負うかを判断する必要があります」と警告しています。

マイクロソフトはこのゼロデイ脆弱性に対し、異例の速さで対応したため、なぜこれほど迅速にパッチを開発できたのかと疑問視する声が多数上がった。ストームズ氏によると、その答えは「この脆弱性は公になる前に責任を持ってマイクロソフトに開示されていた」という。つまり、一般ユーザーにとってはゼロデイ脆弱性だったが、マイクロソフトは既にその存在を認識しており、修正方法を積極的に研究していたのだ。

Internet Explorer には、このアップデートでは対処されていない既知のゼロデイ脆弱性がもう 1 つあります。また、Microsoft は、最近の Pwn2Own コンテストで Internet Explorer 8 をハッキングし、完全にパッチを適用した Windows 7 システムを侵害するために使用された欠陥を現在も調査中であるため、Microsoft は今後も Internet Explorer のパッチ適用に全力で取り組むことになります。

エクスプロイトが次々と発見されるたびに、1 つのことがますます明らかになっています。それは、組織はできるだけ早く Internet Explorer 6 を放棄し、Windows XP から Windows 7 に切り替える必要があるということです。Pwn2Own コンテストで示されているように、Windows 7 と IE8 は侵入不可能ではありませんが、特に Windows XP 上で実行されている場合、IE6 を攻撃することは現時点では非常に簡単です。

トニー・ブラッドリーは、 『Unified Communications for Dummies』の共著者です。彼のTwitterアカウントは@Tony_BradleyPCWです。Facebookページをフォローするか、[email protected]までメールでご連絡ください

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.