日本マイクロソフトは2014年2月20日、Internet Explorer(IE)9および10に新たな脆弱性が見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで、ウイルスに感染する恐れなどがある。実際、この脆弱性を悪用した標的型攻撃が出現している。セキュリティ更新プログラム(パッチ)は未公開。
今回、IE9とIE10に見つかったのはメモリー破損の脆弱性。細工が施されたWebページなどをIE9あるいはIE10で読み込むと、中に仕込まれたウイルスなどを勝手に実行される恐れがある。IE10については、今回の脆弱性を悪用した標的型攻撃が確認されているという。攻撃者は正規のWebサイトに侵入し、今回の脆弱性を悪用するワナを仕掛けたもよう。
今回の公表に先立ち、複数のセキュリティベンダーが、IE10に対するゼロデイ攻撃を報告している。報告された攻撃は、今回の脆弱性を悪用していると考えられる。
今回の脆弱性を修正するパッチは未公開なので、現時点では、今回の脆弱性を修正することができない。
だが、今回の脆弱性の影響を受けるのは、IE9とIE10だけなので、IE11にアップグレードすることが対策となる。
IE11にアップデートできない環境では、「Fix it」を適用することが回避策となる。Fix itとは、Windowsの設定を変更することで、攻撃を回避するツール。Fix itを実行しても脆弱性は修正されないが、現在確認されている攻撃は回避できるようになる。
今回の脆弱性に対応したFix itは、同社の「サポート技術情報 2934088」から適用できる。同ページに置かれた左側(Enable)の「Fix it」ボタン(Microsoft Fix it 51007)を押すと、Windowsの設定が変更されて、既知の攻撃を回避できるようになる(写真)。また、右側(Disable)の「Fix it」ボタン(Microsoft Fix it 51008)を押すと、変更した設定を戻すためのツールが実行される。
