今回公開された「サポート技術情報 2794220」の「Fix it」。左側の「Fix it」ボタンが回避策を実施するツールのボタン、右側が元に戻すツールのボタン
[画像のクリックで拡大表示]
日本マイクロソフトは2013年1月7日、Webブラウザー「Internet Explorer(IE)」に新たな脆弱性が見つかったことを明らかにした。細工が施されたWebサイトにアクセスするだけでパソコンを乗っ取られる恐れなどがある。実際、脆弱性を悪用した攻撃が確認されている。セキュリティ更新プログラム(パッチ)は未公開。その代わり、攻撃を回避するツール「Fix it」を公開している。
今回見つかったのは、メモリー管理に関する脆弱性。IEのバージョン6~8が影響を受ける。バージョン9および10は影響を受けない。脆弱性を悪用するような細工が施されたWebサイトにアクセスするだけで、悪質なプログラムを勝手に実行される恐れがある。その結果、パソコンを乗っ取られる危険性などがある。
実際、同社によれば、今回の脆弱性を悪用した攻撃が確認されているという。脆弱性を修正するパッチは未公開なので、いわゆる「ゼロデイ攻撃」である。
パッチは未公開だが、現在確認されている攻撃を回避するためのツール「Fix it」は公開済み。Fix itは同社Webサイトから実行できるツール。同社の「サポート技術情報 2794220」にアクセスして、「MSHTML shim 回避策の有効化」ボタンを押してツールを実行すれば、ユーザーのパソコンの設定が変更されて、既知の攻撃を回避できるようになる。
ただし、Fix itを実行しても、脆弱性は修正されない。現在確認されている攻撃を回避できるようになるだけだ。このため、パッチが公開されたら早急に適用する必要がある。パッチは、Windowsの自動更新機能を使って配布されると考えられるので、公開され次第、自動的に適用される。パッチの公開時期は未定。
