米Microsoftは米国時間の5月1日(日本時間2日)、攻撃発生が確認されていたInternet Explorer(IE)のゼロデイの脆弱性を修正する更新プログラムを緊急リリースした。例外的に、4月でサポートを打ち切ったWindows XPも更新の対象としている。
脆弱性はIE 6~11までの全バージョンに存在する。削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトにアクセスする方法に問題があり、細工を施したWebサイトをユーザーが表示すると、任意のコードを実行される恐れがある。
修正のための更新プログラム(MS14-021)は、Windows XP SP3~Windows 8.1/RT 8.1にインストールされたクライアント版とサーバ版のIE 6~11向けに配信された。自動更新を有効にしていれば、更新プログラムは自動的に適用される。
今回の脆弱性は、Windows XPのサポート終了直後というタイミングと重なって大きな注目を浴びた。この脆弱性を発見したセキュリティ企業のFireEyeは、4月26日の時点でWindows 7/8上のIE 9~11を標的とする攻撃が発生していると報告。5月1日にはWindows XP上のIE 8を狙う攻撃も確認したと伝えた。この脆弱性を悪用しようとする者も増え、標的とされる組織は当初の防衛産業や金融機関から、政府機関やエネルギー業界にまで広がっているという。
こうした状況を受けてMicrosoftは、サポート終了から間もないという理由で例外的に、Windows XPの全バージョン向けに更新プログラムを提供することにしたと説明する。ただし「現実には、今回の脆弱性を突く攻撃は極めて少数しか発生しておらず、懸念は度が過ぎる」との見方を示し、「IEは広く使われているブラウザの中でも世界一安全」だと強調した。
ユーザーに対しては引き続き、OSはWindows 7や8.1など「現代のOS」に更新し、IEは最新版の11に更新するよう促している。
