昨日のパッチディにマイクロソフトは、Internet Explorer （IE）6および7を影響するゼロディ脆弱性のセキュリティアドバイザリーをリリースした。尚、このセキュリティホールは、IE 8には影響しない。

アドバイザリーによると、IE 6と7は、不正なポインターレファレンスの脆弱性がある。これはメモリー関連の欠点であり、攻撃者はこの脆弱性を悪用し、対象者のパソコンにコードを送り、実行できてしまう。不正なウェブサイトへ誘導した後、攻撃者はこの脆弱性を悪用し、ユーザ権限を使って、コードを実行する。もしユーザ権限が、管理者権限だった場合、攻撃者は完全にPCをコントロールすることが可能となる。

さらに事態を悪化するのは、既にハッカーがこの脆弱性を現実に悪用しているからだ。マイクロソフトは、「ターゲット」攻撃のみでこの脆弱性が攻撃されているケースを見ていると報告しているが、全てのゼロディ脆弱性に関して、同様のことを言っている。従って、問題の規模がどれぐらい大きいかは予測できない。

この脆弱性は発見されたばかりなので、マイクロソフトはまだパッチを提供していない。しかし、この問題は、IE 6と7のみ影響し、IE 8には影響がない。もしIE 8を既に利用しているのであれば、安全だ。もしIE 8を使っていないのであれば、アップグレードすることを勧める。将来のパッチディでマイクロソフトがこの問題を修正するパッチを提供することが予測される。パッチが提供され次第、LiveSecurityユーザに情報を配信する予定である。

別件となるが、マイクロソフトは二本目のセキュリティアドバイザリーを昨日リリースしたが、具体的なセキュリティ脆弱性のトピックではなかった。アドバイザリーは、新しいWindows機能である「Extended Protection for Authentication」などに関する、セキュリティ以外のアップデートであった。この新しい機能は、ローカルネットワークへの攻撃者がWindowsの証明書をネットワーク訪問の際に盗むのを難しくする機能である。このアップデートを検討することを勧める。もし興味があるのであれば、こちらのアドバイザリーを参照のこと。

Corey Nachreiner, CISSP

【原文】
Upgrade to IE 8 to avoid new zero day vulnerability
http://www.watchguard.com/RSS/showarticle.aspx?pack=RSS.IE.0day.0310