2月のＩＥ累積パッチ、2件の重要問題を修正

危険度：高

2009年2月10日


【概要】

対象：
Internet Explorer 7とそれ以前のバージョン

攻撃方法：
悪性のウェブ・ページやリンクにユーザを誘導する

影響：
最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策：
状況に適したInternet Explorerのパッチを入れ早急に対処すること


【詳細】

米国時間の2月10日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティ情報は、Internet Explorer (IE) バージョン7.0に見られる脆弱性2件について説明している。この欠陥はIEバージョン5.xや6.xにも影響する可能性があるが、マイクロソフトはそれらのサポートをすでに打ち切っている。こうした脆弱性は技術的には異なるが、その主な特徴は同じである。IEが特定のHTMLオブジェクトやそのエレメントなどを適切に処理しないことからメモリ破壊が生じる。そして、有害なウェブページにユーザを誘導した攻撃者は、メモリ破壊の問題を悪用しコンピュータでコードを実行、ユーザの権限を獲得することができる。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。今回リリースされたIEパッチは、新たに発表された2件の欠陥を修正する他に既知の欠陥もすべて修正している。


【対策】

このパッチは深刻な問題を修正しているため、ユーザ環境に合ったパッチをできる限り早急にダウンロードし、テストしてから適用することをすすめる。

日本語版をダウンロードする場合は、「Change Language」のドロップダウン・メニューから「Japanese」を選択：

• Internet Explorer 7.0
• Windows XP
• Windows XP x64
• Windows Server 2003
• Windows Server 2003 x64
• Windows Server 2003 Itanium
• Windows Vista
• Windows Vista x64
• Windows Server 2008
• Windows Server 2008 x64
• Windows Server 2008 Itanium
  

注意：
この欠陥は旧バージョンのIEへも影響する可能性があるが、現在マイクロソフトがサポートしているのはIE7.0のみである。このため、旧バージョンを使用している場合は、まずバージョン7.0にアップグレードしてから、このパッチを入れることをすすめる。

ウォッチガード・ユーザ：
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。


【ステータス】

マイクロソフトは問題を修正するパッチをリリースしている。


【参考資料】

マイクロソフトのセキュリティ情報：MS09-002


この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）により調査・執筆されました。