マイクロソフト、IEのゼロデイ脆弱性に修正パッチ配布。すでに攻撃に使われているとの報告も

マイクロソフトが、すでに攻撃に利用されているInternet Explorerの脆弱性の修正パッチを公開しました。この問題はGoogleの脆弱性発見チームProject Zeroからマイクロソフトに報告されたもので、すでにゼロデイ攻撃に利用されているとのこと。

この脆弱性は悪用されるとPCのメモリーを不正に書き換えたり操作するることが可能になります。ただし、そのためにはたとえばメール記したリンクなどを利用して、ユーザーを悪意あるサイトに誘導しなければなりません。

しかし、それが成功すれば、攻撃者はプログラムを勝手にインストールでき、システム内のデータを参照、書き換え、すべての権限を持つユーザーを作成できてしまいます。

この問題はWindows 7〜10上のInternet Eplorer 11、また特定のバージョンのWindows Serverが搭載するInternet Explorer 9および10に含まれます。

サイバーセキュリティ企業TenableのSatnam Narang氏は「この欠陥は野放し状態ですでに活発に使われています。セキュリティー侵害や情報漏洩を避けるため、出来るだけ早くシステムをアップデートしてください

​​​​​​」と述べました。

またマイクロソフトはリリースした修正パッチが「VBScriptエンジンのメモリーの扱い方を修正する」ことで問題を解決すると説明しています。

なお、この修正パッチはWindowsが自動でアップデートする設定になっていればすでに適用され、システムは保護されているとのこと。そうでない場合は、速やかに修正を適用することをおすすめします。