マイクロソフトは問題の深刻さから通常の修正スケジュールを逸脱し、インターネット・エクスプローラー・ブラウザの旧バージョン向けのパッチを月曜日にリリースする。
IE 6、7、8に存在するこの脆弱性は、メモリ破損の問題です。攻撃者はドライブバイダウンロードを介してこの脆弱性を悪用する可能性があります。ドライブバイダウンロードとは、ウェブサイトにアクセスしただけでマルウェアを感染させる攻撃コードをウェブサイトに読み込むことを指します。
マイクロソフトは今月初めにこの問題に対する緊急修正プログラムをリリースしましたが、先週火曜日に月例パッチをリリースした時点では、より永続的なパッチは用意していませんでした。同社は、ソフトウェアの脆弱性が高リスクと判断された場合、随時緊急パッチをリリースします。
「この問題の影響を受ける顧客はまだ限られているが、将来的にはさらに多くの顧客が影響を受ける可能性がある」と、同社の信頼できるコンピューティング・グループのグループマネージャー、ダスティン・チャイルズ氏は日曜日の社内ブログに記した。
午前10時(太平洋標準時)にリリースされるこのパッチは、Windows Updateを通じて配布されます。チャイルズ氏によると、自動更新を有効にしているユーザーは、パッチ適用前にクイックフィックスをアンインストールする必要はなく、パッチは自動的にインストールされるとのことです。
セキュリティベンダーのシマンテックは、この脆弱性を悪用する攻撃コードが他の攻撃コードと類似していることから、Elderwood と呼ばれるグループが IE の脆弱性を発見したと評価した。
シマンテックが9月に発表した報告書によると、エルダーウッドグループは2009年以降、さらに9件もの脆弱性を発見しており、防衛関連企業、人権団体、非政府組織、ITサービスプロバイダーを標的にしているようだ。
ニュースのヒントやコメントは[email protected]までお送りください。Twitterで@jeremy_kirkをフォローしてください。
