米マイクロソフトは9月18日、同社のWebブラウザー「Internet Explorer(IE)」に、悪意を持った第三者がワナを仕掛けたWebサイトにアクセスしてしまうと、不正なコードを実行させられる脆弱性があると発表した。修正プログラムはまだ提供されておらず、攻撃を回避するためにはマイクロソフトが提供するツールをインストールする必要がある。

 マイクロソフトのセキュリティ アドバイザリによれば、この脆弱性を利用した標的型攻撃が既に発見されており、同社は脆弱性を解消する修正プログラムは開発中だとしている。また同社が提供する、攻撃による悪影響を回避できるプログラム「Fix it」や無償のセキュリティツール「EMET」の導入を回避策として挙げている。

 シマンテックやトレンドマイクロ、ラックなどのセキュリティベンダーは、この脆弱性の危険度は高く、事態は深刻だとしてWebサイトで告知している。ラックも、この脆弱性を悪用した標的型攻撃により実際に被害が発生したことを確認したとしており、マイクロソフトが提供するFix itやEMETの導入を強く推奨している。さらに、IE以外のブラウザーを使用した運用も検討するよう呼びかけている。

[マイクロソフト セキュリティ アドバイザリ (2887505)]
[Internet Explorerの「ゼロデイの脆弱性」を悪用した攻撃に対する注意喚起(ラック)]