米Microsoftは5月1日、Internet Explorerの脆弱性に対処したセキュリティ更新プログラム「MS14-021」を緊急公開した。セキュリティ更新プログラムは通常、毎月第2火曜日(米国時間)に提供されるが、定例外での公開は異例だ。
脆弱性はInternet Explorerのメモリ破損脆弱性で、IEがメモリ内のオブジェクトに不適切にアクセスする場合に、リモートでコードが実行されるというもの。
今回の対処では、特例として4月9日にサポートを終了したWindows XP上のInternet Explorer用セキュリティ更新プログラムも公開している。これはWindows XPユーザーが、未だに多く残っている状況を受けての措置で「Windows XPのサポートは終了しているため、Windows 8.1といった最新のWindowsへ早急に移行することを強く推奨する」とマイクロソフトはコメントしている。
なお、マスコミ報道などで、多くのIE利用者に対してこの脆弱性の周知が行なわれているものの、「大きすぎる懸念が広がっている」と、実態以上の騒ぎになっていることをマイクロソフトは指摘。「この脆弱性を悪用する攻撃は非常に限定的で、広まっている状況ではないので安心してください」と冷静に対処することを促している。
セキュリティ更新プログラムは、Windows UpdateやMicrosoft Update、自動更新と、それぞれのOSに合わせた通常の更新プログラム適用手順と同様に行なう。対象となるソフトウェアはWindows XP/Vista/7/8/8.1とWindows RT/RT 8.1、Windows Server 2003/2008/2012上で稼働するInternet Explorer 6~11。
攻撃回避策として推奨されていた「VGX.DLLの無効化」を行なっている場合、セキュリティ更新プログラムをインストールする前に解除する必要があるという。その他にもマイクロソフトはさまざまな回避策を案内していたが、これらも個別に設定を解除する必要があるため「制限された機能を元に戻すため、更新プログラムをインストールしたあとに設定を解除してください」と呼びかけている。
また、IEの脆弱性とは別に、AdobeのFlash Playerについても、ゼロデイ攻撃が確認された脆弱性が発見されており、早急なアップデートを行なうよう、IPAが発表している。