マイクロソフトは2010年3月10日、Internet Explorer(IE)に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。実際、今回の脆弱性を悪用した標的型攻撃が出現している。セキュリティ更新プログラム(修正パッチ)は未公開。IE8は影響を受けない。
今回公表されたのは、IEの特定の処理に関する脆弱性。IE6/7が影響を受ける。IE6/7では、細工が施されたWebページを開くだけで、被害に遭う恐れがあり、既に悪用が確認されている。同社によれば、IEの脆弱性を悪用する標的型攻撃(特定の企業/組織を狙った攻撃)の報告を受けて調査したところ、パッチ未公開の脆弱性であることが明らかになったという。
同社では、脆弱性の詳細を調査中。調査が終了次第、パッチ公開などの「適切な措置」を講じるとしている。
同社の最新ブラウザーであるIE8は、今回の脆弱性の影響を受けない。このため現時点での対策は、IE8へアップグレードすること。「IEに脆弱性が見つかった場合でも、『IE8は影響を受けない』というケースは多い。特に理由がなければ、IE6/7のユーザーにはIE8へのアップグレードを推奨する」(カスタマーサービス&サポート セキュリティレスポンスチーム セキュリティレスポンスマネージャの小野寺匠氏)。
そのほか、IEのセキュリティ設定を変更することなども、回避策として挙げている。例えば、セキュリティレベルを「高」にしてアクティブスクリプトを無効にすれば、脆弱性の悪用を防げる。具体的な設定方法などは、同社の情報を参考にしてほしい。
