米マイクロソフトは2013年5月3日(米国時間)、Webブラウザー「Internet Explorer 8(IE8)」に新たな脆弱性が見つかったことを明らかにした。この脆弱性を悪用した攻撃が確認されている。セキュリティ更新プログラム(パッチ)は未公開。IE6/7/9/10は影響を受けない
今回明らかにされたのは、IE8のデータ処理に関する脆弱性。細工が施されたWebサイトにアクセスするだけで、ウイルス(悪質なプログラム)を実行させられる恐れなどがある。
同社によると、既に今回の脆弱性を悪用した攻撃が確認されている。パッチが公開される前の攻撃なので、いわゆる「ゼロデイ攻撃」だ。セキュリティ企業の英ソフォスなどによると、米労働省のWebサイトが改ざんされ、今回の脆弱性を悪用するようなわなが仕掛けられたとする。
今回の脆弱性を修正するパッチは未提供。マイクロソフトが推奨する回避策の一つは、IE9やIE10へのバージョンアップ。これらのバージョンには、今回の脆弱性は存在しない。
そのほか、IEのセキュリティ設定を変更することも回避策として挙げている。具体的には、インターネットおよびローカルイントラネットセキュリテゾーンの設定を「高」に設定し、これらのゾーンでActiveX コントロールおよびアクティブスクリプトをブロックする。これらの実施手順は、同社が公開する情報に記載されている。ただし、この回避策を実施すると、Webページなどを適切に表示できない場合がある。
同社が無料で提供している「Enhanced Mitigation Experience Toolkit(EMET)」の利用も回避策になる。このツールを利用すれば、脆弱性を悪用された場合でも、悪質なプログラムの実行などを防げる。EMETの利用方法についても、同社が公開する情報に記載されている。