Microsoft、IE の脆弱性への対応を急ぐとともに次善策を提供

『Internet Explorer』(IE) で、新たに見つかったゼロデイ攻撃を招く脆弱性の悪用手法が公開されたことを受けて、Microsoft のセキュリティチームは現在修正パッチの開発を急いでいると述べている。

Microsoft はその一方で、自動実行型スクリプト『Microsoft Fix it』を作成している。これは、一部のユーザーのシステム構成を修正し、脆弱性による危険を低減するものだ。同社はその他の次善策などを提供しており、こうした動きは多くの顧客を保護できるかも知れないが、現在危険にさらされているすべての顧客を救うことはできない。

Microsoft は、9日の月例更新で脆弱性を修正した際に公開したセキュリティ勧告で、IE 6 および IE 7 に存在するセキュリティホールについて、現時点では限定的ではあるもののすでにゼロデイ攻撃が発生しているとして、ユーザーや管理者に警告を発している。

月例更新の翌日10日には、スクリーン名を Trancer と名乗るセキュリティ研究者が脆弱性検証ツール『Metasploit Framework』用のモジュールを作成した。攻撃コードが組み込まれた同モジュールにより、強い悪意を持つ人間が深刻な攻撃を仕掛ける上で、手間が大幅に減るため、11日には攻撃の激しさが増す事態となった。

Microsoft が最初のセキュリティ勧告を発したとき、同社はセキュリティ上の問題の評価を終えていないと述べていた。セキュリティ勧告とは、セキュリティ上のバグに対する完全な修正パッチを含まない予備的な警告だ。だが、この脆弱性を突く攻撃用コードが公開されたため、Microsoft は対応を急ぐことになった。

Microsoft のセキュリティ コミュニケーションズ担当上級マネージャ Jerry Bryant 氏は12日午後、同社セキュリティ対策組織 Microsoft Security Response Center (MSRC) の公式 Blog への投稿の中で、「アップデートはテスト段階にあり、完成させるべく懸命に取り組んでいる」と記した。

Bryant 氏はさらに、次のように述べている。「定例外のアップデートの可能性を排除することはない。アップデートの大規模な配布準備が整えば、顧客のニーズに照らして判断を下すつもりだ」

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール