US-CERT、IEに「攻撃下にある脆弱性」警告。マイクロソフトは月次修正で対応の予定

米国土安全保障省(DHS)の情報セキュリティ対策部門US-CERTが、ウェブブラウザーInternet Explorerに遠隔コード実行の脆弱性があることを報告しました。すでにこの脆弱性を突く攻撃が発生していると警告しています。マイクロソフトは修正を提供すると述べていますが、先週サポートが打ち切られたWindows 7が搭載するInternet Explorerにパッチが提供されるかはわかりません。この脆弱性はIE9～11のスクリプトエンジンが使用するメモリーを破壊し、任意のコードを実行してマシンを乗っ取ります。

US-CERTはIEが使用するjscript.dllへのアクセスを一時的に制限するなど回避策をとるよう薦めています。一方、マイクロソフトはTechCrunchに対し修正パッチの開発に取り組んではいるものの緊急対応といえるものではなく、2月11日に予定される次回の月次セキュリティ更新まで修正を提供する可能性は低いとしています。またマイクロソフトもUS-CERTもこの脆弱性を利用している攻撃者は何者か、標的にされているのはどういったユーザーかといった詳細は述べていません。

したがって、現在もIEを使い続けるユーザーはUS-CERTが言うようにスクリプトエンジンを使用しない工夫とともに、怪しげなウェブサイトを訪れないよう、自己防衛をしなければなりません。

もっとも、すでにマイクロソフトはChromeベースのEdgeブラウザーを数日前にリリースしており、旧式のIEを重要視していないのは明らか。IEは世界的なブラウザーのシェアでも、すでにChrome、Firefox、Edgeを下回り、数%のユーザーしか使用していません(ただし、日本国内ではいまだIEユーザーが3番目のシェア割合との情報もあります)。

脆弱性があるかどうかにかかわらず、やむを得ない理由がないのであれば、Chrome、Firefox、Edgeといった最新のブラウザーを使用することをおすすめします。