Windows Internet Explorer 11 |
Microsoftは4月26日(米国時間)、「Microsoft Security Advisory 2963983」においてIE6、IE7、IE8、IE9、IE10、IE11にリモートから任意のコードが実行できるセキュリティ脆弱性が存在すると伝えた。通常、Microsoftは月に1回のセキュリティアップデートでセキュリティ脆弱性への対応を実施しているが、今回のセキュリティ脆弱性に関しては個別にパッチを提供している。攻撃者は細工したWebサイトを用意することでこのセキュリティ脆弱性を利用することができるため注意が必要。
今回の問題はメモリ上のすでに削除されたオブジェクトへのアクセス、またはまだ適切に確保されていないオブジェクトへのアクセスに関する不備を利用するというもの。このセキュリティ脆弱性を利用することで攻撃者は対象のIEの中で、そのIEの権限で任意のコードを実行できるようになる。
セキュリティ修正パッチを適用するべきかどうかは、「Microsoft Security Advisory 2963983」の「Mitigating Factors」の項目なども吟味して検討する必要がある。場合によっては適用せずに月に1回のセキュリティアップデートで対処しても問題のないケースもあるものとみられる。