マイクロソフトは2010年11月4日、同社のWebブラウザー「Internet Explorer」に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。悪用した攻撃が確認されているという。セキュリティ更新プログラム(修正パッチ)は未公開。
今回明らかにされたのは、データの処理に関する脆弱性。細工が施されたWebサイトにアクセスするだけで、悪質なプログラム(ウイルスなど)を勝手に実行される恐れがある。実際、この脆弱性を悪用した攻撃が確認されている。パッチ未公開の脆弱性を悪用する攻撃なので、いわゆる「ゼロデイ攻撃」である。
ただし米マイクロソフトの情報によれば、攻撃は極めて限定的だという。脆弱性を突くプログラムはある特定のサイトでのみ確認され、現在では取り除かれているとしている。
セキュリティ企業の米シマンテックによれば、今回の攻撃はメールでユーザーを誘導している。攻撃者は、攻撃対象としたユーザーに偽のメールを送信(図)。メールに記載されたURLにアクセスすると、脆弱性を悪用するプログラムがダウンロードされて、ウイルスに感染する恐れがあった。
同社の情報によると、同URLにアクセスしたユーザーは多かったものの、ウイルスに感染したユーザーは少なかったという。その理由として同社では、アクセスしたユーザーの大部分は、攻撃対象ではないWebブラウザーを使っていたためだろうとしている。
脆弱性の影響を受けるのはIE 6/7/8。IE8については、セキュリティが強固なため、攻撃を受けにくいだろうとマイクロソフトでは説明している。実際シマンテックによれば、現在までに確認されている攻撃は、IE6およびIE7のみを対象にしているという。IE9ベータ版は影響を受けない。
現在マイクロソフトでは、修正パッチを開発中。今のところ、定例公開日(米国時間の第2火曜日)に提供する予定。定例公開日以外に“緊急公開”する予定はないという。ゼロデイ攻撃が確認されているものの、緊急公開の基準を満たしていないためだとしている。
