PR

 マイクロソフトは2008年12月18日、Internet Explorer(IE)のセキュリティ更新プログラム(修正パッチ)を公開した。修正される脆弱性の最大深刻度(危険度)は最悪の「緊急」。すべてのIEが影響を受ける。悪用した攻撃(ゼロデイ攻撃)が既に確認されているので、IEユーザーは確実に適用しておきたい。

 マイクロソフトは、同社製品のセキュリティ情報と修正パッチを、毎月第2火曜日(米国時間。日本時間ではその翌日)にまとめて公開している。システム管理者やユーザーが、パッチ適用のスケジュールを立てやすくするためだ。

 しかし、同社が緊急を要すると判断した場合などには、定例日以外に公開することがある。今回はそのケースに該当する。通常、セキュリティ情報の概要は、公開日の3営業日前(日本時間では公開日前週の金曜日)に公表されるが、定例外については、その前日に公表されることが多い。今回も同様で、2008年12月17日に予告された。

 今回公開されたセキュリティ情報は次の1件。

[MS08-078]Internet Explorer用のセキュリティ更新プログラム (960714)

 現在サポート対象となっているすべてのIEと、IE8ベータ2が影響を受ける。具体的には、Windows 2000についてはIE 5.01/6 SP1、Windows XP/Server 2003ではIE6/7/8ベータ2、Windows Vista/Server 2008ではIE7/8ベータ2が影響を受ける。いずれについても、深刻度は「緊急」。なお、IE8ベータ2については開発中のベータ版であるため、深刻度は公表されていない。

 今回の脆弱性は、IEのデータ処理に関するもの。細工が施されたWebページ(HTMLファイル)を読み込むだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。実際、2008年12月11日以降、この脆弱性を悪用するゼロデイ攻撃が出現。悪用するためのコード(プログラム)も出回っている。また、SQLインジェクション攻撃などにより、有名なWebサイトに悪用コードを埋め込まれるケースが相次いでいる。

 修正パッチは、「Microsoft Update(Windows Update)」やセキュリティ情報のページ(ダウンロードセンター)から適用可能。自動更新機能を有効にしていれば自動的に適用される。

 なお、IE用の修正パッチは、それまでに公開されたIE用パッチをすべてまとめた「累積パッチ(累積的なセキュリティ更新プログラム)」として公開されるのが通例だが、今回のパッチは「MS08-078」の脆弱性だけを修正する。累積パッチではないので要注意。例えば、OSを再インストールしたパソコンなどでは、今回のパッチを適用するだけでは不十分だ。

 同社のセキュリティ担当者は、公式ブログにおいて、今回の「MS08-078」パッチと合わせて、(未適用の場合には)2008年12月10日に公開されたIEの累積パッチ「MS08-073」も適用することを推奨している。また、「MS08-073」のパッチをすぐに適用できない環境では、「MS08-078」だけを適用することも可能であるとしている。