IE6/7/8に任意のコードが実行される脆弱性、Microsoftが暫定対策プログラムを公開

「Microsoft Fix it 50971」

　米Microsoft Corporationは12月29日（現地時間）、セキュリティアドバイザリ（英文）を公開し、「Internet Explorer 6」「Internet Explorer 7」「Internet Explorer 8」に未修正の脆弱性（CVE-2012-4792）が存在することを明らかにした。日本語訳されたセキュリティアドバイザリも7日に公開されている。

　このセキュリティアドバイザリによると、「Internet Explorer」にはメモリ破損の脆弱性があり、利用者の権限でリモートから任意のコードが実行可能になるとのこと。すでにこの脆弱性を悪用した標的型の攻撃も確認されている。

　執筆時現在、本脆弱性を修正するセキュリティ更新プログラムは提供されておらず、提供時期も不明。暫定的な対策を施す「Microsoft Fix it 50971」が無償で提供されており、適用することで当面の攻撃を回避できるとのこと。また、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit（EMET）」で脆弱性の悪用を困難にする保護レイヤーを追加し、脆弱性の悪用を防止することも可能。

　なお、本脆弱性は「Internet Explorer 9」「Internet Explorer 10」には影響しない。