日本マイクロソフトは2014年5月2日、米国時間4月26日に公表したInternet Explorer(IE)の脆弱性を修正するセキュリティ更新プログラム(パッチ)を公開した(画面)。2014年4月にサポートが終了したWindows XPおよびIE6向けのパッチも例外的に提供する。Windowsの設定を変更していなければ、パッチは自動的に適用される。
今回のパッチで修正されるのは、IEのメモリー管理に関する脆弱性。現在サポート対象になっている全てのバージョン(IE7~11)に加え、サポートが終了しているIE6も影響を受ける。細工が施されたWebサイトにアクセスするだけで、ウイルス(マルウエア)に感染し、パソコンを乗っ取られる恐れなどがある。
実際、脆弱性を悪用した標的型攻撃が確認されている。ただし米マイクロソフトの公式ブログによれば、確認されている攻撃の数は非常に少ないという。
マイクロソフトでは、同社製品のセキュリティ情報とパッチを、米国時間の毎月第2火曜日(日本時間ではその翌日)にまとめて公開している。システム管理者やユーザーが、パッチ適用のスケジュールを立てやすくするためだ。しかし、同社が緊急を要すると判断した場合には、定例日以外に公開することがある。今回はそのケースに該当する。
パッチの提供対象は、現在サポート対象になっている全てのWindows(Windows Server 2003/Vista/Server 2008/7/Server 2008 R2/8/Server 2012/8.1/Server 2012 R2/RT/RT 8.1/)およびWindows XP。IEのバージョンではIE6~11が対象となる。
Windows XPとIE6については、2014年4月にサポートが終了しているが、サポート終了からそれほど時間がたっていないため、今回は例外的にパッチを提供するとしている。ただしマイクロソフトでは、あくまでも例外的な措置であることを強調している。現在Windows XPを利用しているユーザーは、新しいバージョンのWindowsや最新のIEに移行するよう強く勧めている。
パッチは、Windowsの自動更新機能によって適用される。自動更新機能は初期設定で有効。自動更新機能を無効にしている場合には、「Microsoft Update」を使って手動で適用する。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。
