日本マイクロソフトは2013年1月15日、Internet Explorer(IE)の脆弱性に関するセキュリティ情報とセキュリティ更新プログラム(パッチ)を公開した。脆弱性を悪用されると、細工が施されたWebページにアクセスするだけでウイルスに感染する恐れなどがある。実際、悪用した攻撃(ゼロデイ攻撃)が確認されている。
今回公開されたパッチで修正されるのは、メモリー管理に関する脆弱性。IEのバージョン6~8が影響を受ける。バージョン9および10は影響を受けない。脆弱性を悪用するような細工が施されたWebサイトにアクセスするだけで、悪質なプログラムを勝手に実行される恐れがある。その結果、パソコンを乗っ取られる危険性などがある。
この脆弱性を悪用した攻撃が確認されているため、同社は脆弱性に関する情報を1月7日に公開。現在確認されている攻撃を回避するためのツール「Fix it」ソリューションも提供した。このFix itソリューションを実行しても脆弱性は修正されないが、Windowsの設定を変更することで、現在確認されている攻撃を回避できるようにする。
そして今回、脆弱性を修正するためのパッチが公開された。通常同社では、米国時間の毎月第2火曜日(日本時間ではその翌日)にパッチをリリースしている。毎月決められた日に公開することで、システム管理者やユーザーが、パッチ適用のスケジュールを立てやすくするためだ。
しかしながら、今回のパッチは1月の定例公開日である1月9日に間に合わなかったことに加え、脆弱性の深刻度が高いため、定例外として緊急リリースされた。
パッチは、「Microsoft Update」から適用可能。Windowsの自動更新機能を有効にしていれば自動的に適用される(初期設定では有効)。同社Webサイト(ダウンロードセンター)からもダウンロードできる。
