米Microsoftは2010年3月30日(米国時間)、「Internet Explorer(IE)6」「IE 7」用の緊急セキュリティ・アップデート(修正パッチ)を公開する。すでに実行されている攻撃からユーザーを守るためだ。攻撃対象のセキュリティ・ホールがあるのはIE 6とIE 7だけで、(Microsoftが「最も安全」とする)最新版のIE 8は本来は関係ない。ただし、この修正パッチはIE 8に存在する別の問題も修正する(関連記事:IEのパッチが3月31日に緊急リリース、ゼロデイ攻撃に対応)。
Microsoftの情報には「修正パッチがリリースされたらすぐに適用してほしい。我々は以前からこの問題を監視しており、ユーザーを守るには修正パッチの臨時提供が必要と判断した」とある。
Microsoftは、このセキュリティ・ホールの調査を3月初めに開始したが、それと並行してハッカーも悪用を始めてしまった。そのため、次回の月例パッチのリリースを待たず直ちに修正パッチを公開することにしたのだ。次回の月例パッチ・リリースは2010年4月第2週の予定で、9件のアップデートが提供される(そのうち数件はIE 8も対象)。月例パッチより早いタイミングで修正パッチを緊急リリースすることから、 Microsoftはこのセキュリティ・ホールの危険性が高いとみているはずだ。
Microsoftが2010年になってから修正パッチの緊急リリースに追い込まれたのはこれで2回目だ。1回目は1月で、さまざまなバージョンのIEが修正対象になった。情報筋によると、1回目の修正パッチは米Googleを狙った中国発の攻撃を防ぐことが目的だったらしい(関連記事:MicrosoftがIE用の修正パッチを臨時公開へ、中国発の攻撃に対応/突如勃発したGoogleの中国撤退問題、そのときMicrosoft は?)。
ところで、IEのセキュリティに関係する話題を1つ紹介しよう。2010年3月第4週に開催された年次ハッキング・コンテスト「Pwn2Own」で、IE 8もほかのWebブラウザと同じく攻撃を防ぎきれなかった。攻撃に屈したのはIE 8だけでないが(Webブラウザは例外なく陥落したし、「Mac OS X(Snow Leopard)」と「iPhone」も敗れた)、Microsoft はブログで見解を表明した(関連記事:Pwn2Own 2010:iPhoneのSMSデータベースが抜き出される)。
このMicrosoftの公式ブログには次のように書かれている。
「我々がシステムの深部に組み込んだ防御技術は、あらゆる攻撃を永久に防ぐよう設計したわけでない。あくまでも、セキュリティ・ホールの悪用を困難にすることが目的だ。『Windows 7』でIE 8を使う場合、こうした防衛技術はユーザー保護に貢献している。しかも初期状態で保護が有効になっているため、ユーザーの設定作業は必要ない。このことは、ソフトウエアに最新のアップデートを適用し、常に最新版を使うようお願いしている理由の1つといえる」
