IE6-11に未解決の脆弱性 既に攻撃も確認されているものの、サポート終了のXPにはパッチの予定無し

Microsoftは同社のインターネットブラウザ「Internet Explorer」の脆弱性を発表しました。これはInternet Explorerのバージョン6から11までの全てにおいて影響があるとしています。


セキュリティ企業FireEyeによると、今回の脆弱性を利用し、IE9からIE11を主な標的としたゼロデイ攻撃の存在を確認済みとのことです。

Microsoftでは、調査が完了した時点で月例または臨時更新プログラムを公開して修正する予定としています。ただ、今回の影響がある範囲にWindows XPも含まれていますが、今月9日にサポートが終了しているためパッチの適用は無い見込みです。

今回の脆弱性は、削除されたメモリや適切に割り当てられていないメモリ内のオブジェクトにアクセスし、リモートで任意のコードを実行される可能性があるというものです。この脆弱性を利用すると、ウェブサイトの改ざんやユーザーをだましたリンクをクリックさせたりなどで不正なウェブページを表示させ、リモートで任意のコードを実行することができてしまうとのこと。

自衛策としては「Flashプラグインを無効に」

FireEye Blogによると、今回の攻撃はFlash経由であることが確認されたそうで、IEのFlashプラグインを無効にすることで対策の1つになると明かされています。
そのほか、Microsoftからもいくつかの対応策が出ていますが、それも「当面の対策」のようです。更新プログラムが出たら、なるべく早く適用させましょう。

またComputerworldによると、XPユーザーがIEベースの攻撃を避ける手段としてGoogle ChromeやFirefoxなど他のブラウザに切替えることを提案しています。どちらのブラウザも、少なくとも今後12ヶ月間はセキュリティプログラムを更新し続けるそうです。

いずれにせよMicrosoftからのサポートがなくなったXPの脅威は今後ますます高まっていくだろうことは素人でも予測がつきます。

関連情報

Microsoft Security Advisory 2963983
New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog
Hackers find first post-retirement Windows XP-related vulnerability – Computerworld