あらすじ
今日から仕事始めということで、年末の仕事納めにシャットダウンしたPCの電源を入れる人々も多いと思います(わたしの会社の仕事始めは来週7日から! ←かなり嬉しい)。その際、そのPCでIE6~8を使っているという場合は、Fix itツールを当てておいた方が良いと思います。
というのも、去年の年末にMicrosoftが新たな脆弱性を発見したからです。
つまりどういうことだってばよ?
http://thenextweb.com/microsoft/2012/12/29/criminals-use-adobe-flash-and-new-ie-vulnerability-in-targeted-attacks-ie9-and-ie10-users-are-safe/
12月28日が仕事納めだった人も多いと思います。
その翌日、IE6~8に新たな脆弱性をMicrosoftが確認しました。そして、悪意あるユーザがそこを狙い撃ちし始めたそうです。
一方で、IE9~10が搭載されているOSを使っている方々は、とりあえず影響がないそうです。
MicrosoftはSecurity Advisory (2794220)を出して、ユーザに脆弱性について報告しています。
http://technet.microsoft.com/en-us/security/advisory/2794220
The vulnerability is a remote code execution vulnerability that exists in the way that Internet Explorer accesses an object in memory that has been deleted or has not been properly allocated.
この脆弱性はリモート・コード実行の脆弱性であり、「メモリ内の削除されたか、きちんと割り当てられなかったオブジェクト」にInternet Explorerがアクセスする方法に存在します。
The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer.
この脆弱性は、Internet Explorerの現在のユーザに関連して任意のコードを実行させることを攻撃者に許す方法で、メモリを破損する可能性があります。
An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the website.
攻撃者は、特別に精巧に作ったWebサイトを以て、Internet Explorerを通してこの脆弱性を突いて、ユーザにそのWebサイトを訪問させようとする可能性もありえます。
大晦日に応急処置がリリースされている
http://thenextweb.com/microsoft/2012/12/31/microsoft-releases-temporary-fix-for-vulnerability-in-ie6-ie7-and-ie8-security-patch-coming-soon/
Microsoftは、仮のOne-Clickタイプの「Fix it」ツールをIE6~8用に緊急リリースしています。
この時点でセキュリティパッチはまだ出ておらず、Coming soon となっていました。
1月3日にセキュリティパッチのリリース事前通告があったが…
http://thenextweb.com/microsoft/2013/01/03/microsoft-no-security-patch-on-tuesday-for-ie6-ie7-and-ie8-vulnerability-despite-second-attack/
1月3日にMicrosoftが公表した事前通告によると、12の脆弱性に向けて2つの最重要、5つの重要な更新をリリースする予定だそうですが、その中には当該の脆弱性に対するものは含まれていないのだそうです。
現時点でできる対策
Fix itツールを当てるか、
http://support.microsoft.com/kb/2794220
別のブラウザ(Google Chrome、FireFoxなど)を使うかしかないようです。
寄せられているコメント
「(笑)いやぁ、Macに切り替えた僕は勝ち組(笑)」
「やだなぁ! MicrosoftにはIE6に迅速かつ痛みを伴う終わり方をさせることを期待してたんだけど、生命維持のためにそれを残してるように見えるね」
などなど。
所感
新年早々に攻撃を受けたくはないので、パッチが出るまではFix itツールを使って早々に対処した方が良さそうです。IE8以前をお使いの方、くれぐれもご注意ください…。