IEの緊急パッチ公開、すでに攻撃に悪用された脆弱性を含む5件を修正


 日本マイクロソフト株式会社は22日、定例外のセキュリティ更新プログラム(修正パッチ)を緊急リリースした。Internet Explorer(IE)の脆弱性5件を修正する。影響を受けるのは、IE 9/8/7/6。最も深刻な脆弱性が悪用された場合、特別に細工をされたウェブページを表示すると、リモートでコードが実行される可能性がある。

 5件のうち1件はすでに情報が出回っていたもの。マイクロソフトでも、限定的ではあるが、この脆弱性を悪用する攻撃がすでに発生していることを確認しているとし、影響を受けるすべての環境において修正パッチを早期に適用することを推奨している。

 最大深刻度は、クライアントOSのWindows 7/Vista/XPにおいて4段階中で最も高い“緊急”。サーバーOSのWindows Server 2008 R2/2008/2003では、4段階中で下から2番目の“警告”。

 今回、「MS12-063」として公開されたのは、「Internet Explorer用の累積的なセキュリティ更新プログラム(2744842)」。OnMoveの解放後使用の脆弱性(CVE-2012-1529)、イベントリスナーの解放後使用の脆弱性(CVE-2012-2546)、textBlockの解放後使用の脆弱性(CVE-2012-2548)、cloneNodeの解放後使用の脆弱性(CVE-2012-2557)、execCommandの解放後使用の脆弱性(CVE-2012-4969)――という5件について、IEがメモリのオブジェクトを処理する方法を変更することにより修正する。

 このうちexecCommandの解放後使用の脆弱性が、すでに限定的な攻撃に悪用されていることが確認されていた脆弱性だ。9月中旬、IEの未修正の脆弱性を悪用する攻撃が見つかったとして、セキュリティ企業などがユーザーに警戒を呼び掛けていた。

 なお、マイクロソフトは20日、セキュリティアドバイザリ(2757760)において、execCommandの解放後使用の脆弱性の修正パッチを提供するまでの間の対策として、攻撃の影響を緩和するための設定を自動的に適用するツール「Fix it」を公開していた。マイクロソフトによれば、このFix itを適用したユーザーが、MS12-063を適用する前に、Fix itを元に戻す必要はないとしている。

IE10では、Flash Playerの脆弱性を修正

 IE10はMS12-063の影響を受けないが、これとは別にマイクロソフトは22日、セキュリティアドバイザリ(2755801)として「Internet Explorer 10におけるFlash Playerの脆弱性に関する更新プログラム」を公開した。

 これは、Windows 8およびWindows Server 2012上のIE10におけるAdobe Flash Playerの脆弱性修正パッチ(KB2755399)をリリースしたことを知らせるもの。Adobe Systemsが8月に「APSB12-18」「APSB12-19」で修正していた脆弱性について、IE10に含まれるAdobe Flashライブラリを更新することで解決する。

関連情報