米Microsoftは9月18日、セキュリティ情報のSecurity Response Centerにて「Internet Explorer(IE)」で見つかった最新のゼロディ脆弱性についての最新情報を掲載し、「数日以内に対応を行う」とした。脆弱性はInternet Explorer(IE) 6/7/8/9が影響し、IE 10は影響を受けない。この脆弱性を悪用する標的型攻撃も確認されている。
この脆弱性は、IEが削除されたオブジェクトや適切に割り当てられなかったオブジェクトにアクセスする手法に存在するもので、悪用されると遠隔操作で任意のコードを実行できる。この脆弱性を重く見たドイツ政府は、一時的に別のブラウザを利用するよう推奨している。
17日付けで更新されたセキュリティアドバイザリでMicrosoftは、この脆弱性を突いた攻撃を確認しており、現在セキュリティソフトウェア向けのパートナープログラムMAPP(Microsoft Active Protections Program)で、情報提供など顧客を保護するための対策に取り組んでいると報告していた。また、調査の後、月例パッチを通じての解決策の提供など適切な対応を行い、場合によっては月例サイクル外の緊急のセキュリティ更新として対応する可能性もあるとの見通しを示している。
同社は18日、追加情報として、この脆弱性について数日内に対応すると発表、1クリックで容易に利用できる修正をIEユーザーに提供するとしている。
その間の対応策としてはActive Scriptingを無効にし、自社セキュリティツール「Enhanced Mitigation Experience Toolkit(EMET)」を利用することなどを推奨している。
