マイクロソフトが発表したセキュリティアドバイザリ(2887505) によると、Internet Explorer (IE) の全バージョン、IE6 ~ IE11 にリモートコードが実行される脆弱性が発見されたとのこと。
すでに、IE8、IE9 を対象にした標的型攻撃も確認されているとのことで、当面の対策として Fix it はすでに公開済みですので、取り急ぎそちらを利用するか、IE を窓から投げ捨てるか、対策が必要になります。
Microsoft is investigating public reports of a vulnerability in all supported versions of Internet Explorer. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability in Internet Explorer 8 and Internet Explorer 9. Applying the Microsoft Fix it solution, "CVE-2013-3893 MSHTML Shim Workaround," prevents the exploitation of this issue. See the Suggested Actions section of this advisory for more information.
The vulnerability is a remote code execution vulnerability. The vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted or has not been properly allocated. The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer. An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the website.
On completion of this investigation, Microsoft will take the appropriate action to protect our customers, which may include providing a solution through our monthly security update release process, or an out-of-cycle security update, depending on customer needs.
- この脆弱性は、すべてのサポートされているバージョンの IE に存在する
- すでに IE8、IE9 を対象に、この脆弱性を悪用しようとする標的型攻撃を確認している
- リモートでコードが実行される脆弱性。攻撃コードを仕込まれた Web ページを閲覧したりすることで任意のコードを実行される可能性あり
- 削除されたメモリ内や適切に割り当てられていないメモリ内のオブジェクトに IE がアクセスする方法に脆弱性が存在する
- マイクロソフトは本件について調査中。調査完了後、月例のセキュリティ更新プログラム、もしくは臨時のセキュリティ更新プログラムとして修正パッチを提供する予定
Fix it は下記から入手可能です。
[2013年9月18日 11:36 追記]
日本語版のセキュリティアドバイザリも公開されていましたので下記に掲載しておきます。
[2013年10月 9日 10:36 追記]
10月の定例アップデートで、本件に対するセキュリティアップデートが提供される旨、発表されました。