4月のIE累積パッチ、6つのセキュリティ・ホールに対応

危険度:高

2009年4月14日

【概要】

対象：
Internet Explorer 7とそれ以前のバージョン

攻撃方法：
悪性のウェブ・ページやリンクにユーザを誘導する

影響：
最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる

対策：
状況に適したInternet Explorerのパッチを入れ早急に対処すること
【詳細】

米国時間の4月14日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティ情報は、Internet Explorer (IE) バージョン7.0やそれ以前のバージョンに見られる新たな脆弱性6件について説明している。

6つの脆弱性は技術的には異なるが、その主な対象範囲と影響はいずれも同様である。脆弱性の多くは、IEが特定のHTMLオブジェクトを処理することで誘発されるメモリ破壊の欠陥に関与する。有害なウェブページにユーザを誘導した攻撃者はこうした脆弱性を悪用し、コンピュータでコードを実行してユーザの権限を獲得する。通常、Windowsユーザにはローカル管理者の権限が与えられているが、その場合、攻撃者は被害者のコンピュータを完全に操作できるようになる。

こうした欠陥の技術面の違いを知りたい場合は、マイクロソフトのセキュリティ情報にある脆弱性の詳細欄を参照することをすすめる。しかし技術面を別にしてもIEに関わるこうした欠陥は重要なリスクを提示しているため、至急IEパッチをダウンロードし、インストールすることをすすめる。

今回リリースされたIEパッチは新たに発表された6件の欠陥を修正する他に、既知の欠陥もすべて修正している。

【対策】 このパッチは深刻な問題を修正しているため、ユーザ環境に合ったパッチをできる限り早急にダウンロードし、テストしてから適用することをすすめる。

日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択：

• Internet Explorer 5.1
• Windows 2000
• Internet Explorer 6.0
• Windows 2000
• Windows XP
• Windows XP x64
• Windows Server 2003
• Windows Server 2003 x64
• Windows Server 2003 Itanium
• Internet Explorer 7.0
• Windows XP
• Windows XP x64
• Windows Server 2003
• Windows Server 2003 x64
• Windows Server 2003 Itanium
• Windows Vista
• Windows Vista x64
• Windows Server 2008 *
• Windows Server 2008 x64 *
• Windows Server 2008 Itanium

*注意：Server Coreインストール・オプションでインストールしたWindows Server 2008 Administrators において、この欠陥の影響はない。

ウォッチガード・ユーザ：
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。

【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。

【参考資料】

• マイクロソフトのセキュリティ情報：MS09-014

この記事はコーリー・ナクライナーCorey Nachreiner, CISSPにより調査・執筆されました。