米マイクロソフトは4月26日(米国時間)、Internet Explorer 6~11に脆弱性が見つかり、その脆弱性を狙った攻撃も検知していることをセキュリティ・アドバイザリー「Microsoft Security Advisory 2963983」で公開した。
米のセキュリティ・ベンダーであるFire Eyeもこの脆弱性を悪用した攻撃を確認しているが、攻撃の対象とされているバージョンはInternet Explorer 9~11としている。
マイクロソフトによると、脆弱性は削除されたあるいは適切に割り当てられていないメモリ内のオブジェクトにアクセスする方法に存在する。
攻撃者はこの脆弱性を悪用することで、Internet Explorerの現在のユーザーのふりをして任意のコードを実行したり、ユーザーを不正なコンテンツが仕掛けられたWebサイトへ誘導したりすることが可能になるという。
マイクロソフトは調査が完了したら、月例セキュリティ更新プログラムもしくは臨時のセキュリティアップデートを通じて、対応策を提供するとしている。
当座の対応策としては、EMET(Enhanced Mitigation Experience Toolkit) 4.1の適用、Internet Explorer 11の強化保護モードを有効にすることなどがある。
さらに、Fire Eyeはこの脆弱性を狙った攻撃はFlashがなければ機能しないとして、Internet Explorer でFlashプラグインを無効にすることを推奨している。