By tim_d

Internet Explorer 6から11までの全バージョンに関わる脆弱性の存在をMicrosoftが発表しました。対象OSはWindows 8.1やWindows Server 2012などほぼすべてのWindows OSで、当然、2014年4月9日にサポートが終了したWindows XPも含まれていますが、マイクロソフト セキュリティ アドバイザリの適用はありません。

Microsoft Security Advisory 2963983
https://technet.microsoft.com/ja-jp/library/security/2963983

New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog
http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html

Hackers find first post-retirement Windows XP-related vulnerability - Computerworld
http://www.computerworld.com/s/article/9247940/Hackers_find_first_post_retirement_Windows_XP_related_vulnerability

Microsoftが発表した脆弱性は、削除したメモリや適切に割り当てられていないメモリ内のオブジェクトにアクセスされることで、リモートでコードが実行されるというもの。攻撃者はIEのこの脆弱性を利用して、偽のサイトを表示させユーザーをだましてリンクをクリックさせてコードを実行させることが可能となるとのこと。対象ブラウザはIE6からIE11までの全バージョンで、対象OSは最新OSであるWindows 8.1やサーバーOSであるWindows Server 2012などほぼ全てのWindows OSです。

By Don Hankins

セキュリティ会社FireEyeによると、今回の脆弱性はIE6からIE11までのすべてのIEに共通のものですが、IE9からIE11を攻撃対象とするゼロデイアタックの存在を確認済みで、これらの攻撃はFlash経由であることが確認されているため、IEのFlashプラグインを無効にすることが有効な対策であると明らかにしています。

Microsoftはこの脆弱性に対して臨時更新プログラムを提供する予定ですが、サポートが終了したWindows XPにはパッチは提供されない見込み。そのためWindows XPのユーザーは、少なくとも今後12カ月間はサポートが継続されるGoogle ChromeやFirefoxのようなブラウザへの切り替えによって対処するしか方法はなさそうです。