Microsoft 社から米国時間 12月16日 Internet Explorer の脆弱性を狙った悪質なエクスプロイトコード(未知の脆弱性を悪用するコード)が出回っているとしてセキュリティ情報の事前告知がおこなわれました。
この脆弱性に関しては2つのポイントがあります。
●悪質なウェブサイトからスクリプトによってマルウェアを埋め込む。
●正当なサイトに攻撃者がスクリプトによってマルウェアを埋め込む。
どちらの攻撃もスクリプトによってマルウェアを埋め込みます。
この問題は Internet Explorer (IE8 も含む) の全てのバージョンと Sleipnir / Grani にも影響します。
Microsoft 社の事前告知によると日本時間の 12月18日に Windows Update による問題の解決がおこなわれます。
現時点でフェンリルからユーザーの皆様に Microsoft 社の対策が完了するまでの間にお伝えできる対策は以下です。
●自動更新に備え Windows Update の自動更新機能を ON にする。
→Windows XP を例にすると コントロールパネル|セキュリティセンター|自動更新
●Sleipnir / Grani のセキュリティを高めるために Javascript の実行を控える。
→ツール|Sleipnir (Grani)オプション|ビュー|Trident の中の “デフォルトセキュリティ” の
”JavaScript の実行を許可する”のチェックを OFF
●Microsoft 社からの更新が開始されたら速やかに更新する。
→12月18日中に開始される予定です。
スクリプトの実行を抑制すればこの問題への対策は可能です。また、スクリプトの実行が必要なサイトに関してはサイトの安全性に注意していただき、ステータスバーの “セキュリティモードの切り替え” でコントロールしてください。緊急のアナウンスのため全てが正確な情報や対策方法とは限りません。
新しい情報が入りましたらこのページに追記させていただきます。
[参考資料]
MS、定例外のセキュリティパッチを公開へ–IEの緊急レベルの脆弱性を修正 (ZDNet Japan)
マイクロソフト セキュリティ情報の事前通知 – 2008 年 12 月 (定例外) (Microsoft)
Windows Update (Microsoft)
【追記 12/18 12:00】
Microsoft 社からウエブサイトによる更新プログラムの公開とWindows Update による更新が開始されました。マイクロソフト社は、直ちにこの更新プログラムを適用することを推奨しております。
Windows Update (Microsoft)
マイクロソフト セキュリティ情報 MS08-078 – 緊急 (Microsoft)