IE 8/7/6にパッチ未提供の脆弱性、すでに限定的な攻撃も

マイクロソフトのセキュリティアドバイザリ（2458511）

　マイクロソフト株式会社は4日、Internet Explorer（IE）に新たな脆弱性が見つかったとして、セキュリティアドバイザリ（2458511）を出した。リモートでコードが実行される恐れのあるもので、すでにこの脆弱性を悪用する限定的な攻撃を確認しているという。

　マイクロソフトによると、この脆弱性はIEの無効なフラグ参照が原因。現在サポートされているIE 8/7/6のすべてのバージョンに存在する。悪意のあるコードをホスティングしたウェブサイトへユーザーを誘導することで悪用できるという。

　マイクロソフトでは回避策として、IEでDEP（データ実行防止）機能を有効にすることや、ブラウザーのセキュリティ設定を「高」に設定し、ActiveXコントロールとアクティブスクリプトをブロックする方法などを示している。

　Microsoft Security Response Center（MSRC）の11月2日付ブログによると、脆弱性の影響は現時点できわめて限定的。この脆弱性を狙ったコードは1つのウェブサイトで見つかったが、すでに削除されたという。

　また、脆弱性はIE 8/7/6にあるが、IE8については、DEPがデフォルトで有効になっているため、この脆弱性による攻撃を受けにくいとしている。なお、IE9ベータ版では影響は受けないという。脆弱性を修正するパッチは開発中だが、MSRCによると、定例外パッチの基準は満たしてない。ただし、状況が変わればMSRCのブログにて報告するとしている。

【追記 17:10】

標的型攻撃メールの例（シマンテック日本語版セキュリティレスポンスブログより画像転載）

　株式会社シマンテックによると、ある組織に対して送信された標的型攻撃メールにおいて、この脆弱性が悪用されていた。

　このメールに掲載されているURLは、ユーザーが使っているブラウザーのバージョンとOSを識別するスクリプトを含んだページにリンクされており、IE7/6を使っている場合に攻撃コードが動作。ユーザーの気付かぬうちにマルウェアをダウンロード・実行するようになっていたという。