IEのゼロデイ問題、Windows XPの危険性を白日下に晒す

この記事をInternet Explorerで読んでいる人は、今すぐブラウザーを閉じてChromeを立ち上げた方がいい ― そして新たに報告されたゼロデイ脆弱性が修正されてから戻ってくること。米国および英国政府さえも、Internet Explorereの利用を控えるよう警告している。ゼロデイ問題は、Internet Explorerのバージョン6、7、8、9、10および11で発見されたとMicrosoftは言っている。これらのブラウザーは、世界ブラウザー市場の約50%を占めていることをBBCが指摘している

Microsoftはいくつかの対応策を提示しているが、私は今のところInternet Explorerを遠ざけているだけだ。Microsoftは過去数年間にInternet Explorerを大きく改訂しており、Windows 8.1に同梱されている最新のInternet Explorer 11にもセキュリティー問題があることは、何とも残念である。

この欠陥によって、「リモートコードインジェクション」が可能となり、非常に厄介である。Microsoftは、「この脆弱性の利用した攻撃が限定的に試みられたことを認識している」。つまりたった今起きている現実だ。欠陥はInternet Explorerが、メモリー中の削除されたが正しく割り割当てられていないオブジェクトをアクセスする際に起きる。

もちろん、状況を理解するために技術的詳細を知る必要はない。

あなたが思う以上に悪い状態である理由を書く。Microsoftが見捨てたWindows XPにはパッチが配られない。つまり、Windows XPに残された人々は、これまで以上のリスクに晒されていることになる。こうなることはわかっていた。

Ars TechnicaのPeter Brightは3月にこう書いていた

そしてFirefoxとChromeはいずれもWindows XPの寿命を越えてサポートされるものの、Internet Explorer 6~8を使っている膨大な数の人々は、サポートされていないオペレーティングシステムだけでなく、サポートされていないブラウザーも使っていることが強く予想される。

これらの人々が標的にされることは不可避であり、良い結果を望むことは難しい。

おっしゃる通り。

Microsoftがすると約束していることは以下の通り。

調査が終り次第、Microsoftは顧客を保護するための適切な行動をとる予定であり、月次セキュリティーアップデートあるいは臨時セキュリティーアップデートを通じて解決策を提供する。

セキュリティー専門家は、予想通り懸念を表している。QualysのWolfgang Kandekがこう書いている

Windows XPユーザーへ: 私の予想より少々早く起きてしまったが、予兆はあった。脆弱性の対象として、Windows XP、IE6、IE7、およびIE8が影響を受けたと報告されており、アタッカーはすぐに古いバージョンのIEにもつけ入る可能性が高い。あなたのオペレーティングシステムはパッチされないので、当該DLLを外すことがシステムを守る最善手である。ちなみに、MicrosoftがIE6、IE7、およびIE8を対象に含めているのは、あと1年間サポートが残っているWindows 2003上で動作するためだ。

Internet Explorerからは今、Windows XPからは永久に離れる時だ。

アップデート:Microsoftが現状についてコメントを出した。

「2014年4月26日、Microsoftはセキュリティアドバイザリー2963983を発行し、Internet Explorerの脆弱性について利用者に通知した。現時点で限定的な標的に向けられた攻撃があったことを認識している。利用者には、アップデートが完成するまでの間アドバイザリに記載された対処法を行うことを推奨する。Internet Explorer 10および11ではデフォルトでオンになっている、エンハンスト・プロテクテッド・モード、Enhanced Mitigation Experience Toolkit (EMET) 4.1、およびEMET 5.0 Technical Previewがこの潜在的リスクに対する保護に役立つことが発見されている。」

IMAGE BY FLICKR USER AUSTEN SQUAREPANTS UNDER CC BY 2.0 LICENSE (IMAGE HAS BEEN CROPPED) 

[原文へ]

(翻訳:Nob Takahashi / facebook


投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。