ニュース

「Internet Explorer」にリモートコードの実行を許す脆弱性、対策プログラムが公開

IE6~11に影響、すでにIE8/9で限定的ながら標的型攻撃を確認

「Microsoft Fix it 51001」

 米Microsoft Corporationは18日(日本時間)、「Internet Explorer」にリモートから任意のコードが実行される脆弱性が存在することを明らかにした。

 同社のセキュリティアドバイザリ(2887505)によると、「Internet Explorer」のレンダリングエンジン(mshtml.dll)には解放済みメモリ使用(use-after-free)によるメモリ破壊の脆弱性が存在するという(CVE-2013-3893)。影響を受ける環境は「Internet Explorer 6」から「Internet Explorer 11」までのバージョンで、「Internet Explorer 8」および「Internet Explorer 9」で限定的ながら本脆弱性を悪用しようとする標的型攻撃が確認されているという。

 同社では、正式なセキュリティ更新プログラムが公開されるまでの暫定的な対策として、「Microsoft Fix it 51001」の適用を推奨している。なお、この「Fix it」を提供する前に最新のセキュリティ更新プログラム(KB2870699)がインストールされている必要があるので注意。また、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」で脆弱性の悪用を困難にする保護レイヤーを追加し、脆弱性の悪用を防止することも可能。

(柳 英俊)