良いニュースと悪いニュースがあります。良いニュースは、マイクロソフトが月曜日にリモートコード実行を可能にするInternet Explorerのセキュリティ脆弱性を修正したことです。悪いニュースは、同社がこの修正プログラムをWindows 10の累積アップデートとしてリリースしたことです。ここ数週間、Windowsユーザーから多くの問題が報告されていることを考えると、最近のアップデートの実績が当たり外れがあると言うのは控えめな表現でしょう。
まず、この脆弱性についてお話ししましょう。この脆弱性はCVE-2019-1367という識別子で識別され、Microsoftによると、公開される前に修正プログラムが適用されていました(ただし、同社によると、この脆弱性は悪用されたとのことです)。Windows 7、8.1、10、および複数のバージョンのWindows Serverで、Internet Explorerバージョン9~11が影響を受けました。Microsoftは、この更新プログラムがなければ、この脆弱性に対処できる緩和策や回避策は存在しないと述べています。
同社がこの脆弱性について語った内容は以下のとおり。
Internet Explorer のスクリプトエンジンがメモリ内のオブジェクトを処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性により、メモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる可能性があります。この脆弱性を悪用した攻撃者は、現在のユーザーと同じユーザー権限を取得する可能性があります。現在のユーザーが管理者ユーザー権限でログオンしている場合、この脆弱性を悪用した攻撃者は影響を受けるシステムを制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新しいアカウントの作成を行う可能性があります。
マイクロソフトは、Internet Explorerを使用しているユーザーがこの脆弱性を悪用するウェブサイトを閲覧するたびに、誰かがウェブサイトを立ち上げる可能性があると述べています。Internet Explorerをまだ使用している人は、事実上トラブルを招くことになる、と言うのは簡単ですが、現実には多くの人が依然としてこのブラウザに依存しており、最新のブラウザを使いこなせるほど技術に精通していない人は、マイクロソフトが説明したような攻撃に対して特に脆弱です。
このアップデートは「スクリプトエンジンがメモリ内のオブジェクトを処理する方法を変更することで脆弱性に対処する」とMicrosoftは述べているが、具体的な内容は明らかにしていない。昨日リリースされた累積アップデートKB4522016には、他に変更はないようだ。一部の入力方式エディター(IME)とWindowsオーディオに影響する問題は、同社のこのリリースに関するサポート記事の「既知の問題」セクションに引き続き記載されている。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
