[2010-01-21 追記] Microsoft 社は日本時間 1 月 22 日 午前 3 時(太平洋標準時刻 1 月 21 日 午前 10:00) に修正プログラムをリリースすると発表しました。
Advance Notification for Out-of-Band Bulletin Release(英語)
Microsoft 社は Google 社などの攻撃に使用された 「Internet Explorer の脆弱性により、リモートでコードが実行される問題」 に関するセキュリティアドバイザリを公開しています。
この問題に関して、Microsoft 社は注目度が高く、防御方法について混乱が発生しているため定例外の修正プログラムをリリース予定であり、リリース日に関しては米国時間の 1 月 20 日に発表するとしています。
この問題は下記の Internet Explorer と Sleipnir/Grani にも影響します。
Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1
Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2 上の Internet Explorer 6, Internet Explorer 7, Internet Explorer 8
現時点でフェンリルからユーザーの皆様に Microsoft 社の対策が完了するまでの間にお伝えできる対策は以下の通りです。
●現時点で Microsoft 社が攻撃を確認しているのは IE6 のみであるので、よりセキュリティ保護にすぐれた IE8 にアップデートする。
→Internet Explorer 8 をダウンロードする。
●Sleipnir / Grani のセキュリティを高めるために JavaScript の実行を控える。
→ツール | Sleipnir (Grani)オプション | ビュー | Trident の “デフォルトセキュリティ” の “JavaScript の実行を許可する”のチェックを OFF にする。
※お気に入りの個別設定などで有効にしている場合はそちらが優先されますのでご注意下さい。
●Microsoft 社からの更新が開始されたら速やかに更新する。
→修正プログラムは、日本時間 1 月 22 日 午前 3 時にリリース予定です。
その他、問題を緩和する方法や詳細はセキュリティアドバイザリをご覧下さい。
フェンリルでも追加で情報が入り、確認次第皆様にお知らせ致します。
[参考資料]
マイクロソフト セキュリティ アドバイザリ (979352)(Microsoft)
Internet Explorerのセキュリティ更新を定例外リリースします(Microsoft 日本のセキュリティチーム)
Internet Explorer の脆弱性を利用した「Operation Aurora」について(McAfee)
MS、「IE」の臨時パッチをリリースへ–グーグルへの攻撃に使われた脆弱性に対処(CNET Japan)
Microsoft、“Google攻撃”脆弱性修正の定例外パッチ提供を決定(INTERNET Watch)
MicrosoftがIEの臨時パッチを公開へ、脆弱性問題に対応(ITmedia)