米国Microsoftは12月16日、同社Webブラウザ「Internet Explorer（IE）」の深刻な脆弱性に対処するためのパッチを、翌17日（米国時間）に配布すると発表した。同社はおよそ1週間前の12日、全バージョンのIEに脆弱性が存在することを認め、注意を呼びかけていた（関連記事）。

　同パッチの配布は、Windows UpdateやMicrosoft Update、Windows Server Update Services（WSUS）を通じ、米国東部標準時（EST）の12月17日午後1時（日本時間の18日午前4時）から行われる。

12月16日付けのSecurity Bulletin Advance Notification

　16日付けの事前通知（Security Bulletin Advance Notification）によると、同パッチの対象は、Windows 2000/XP/Vista/Server 2003/Server 2008の環境下でIE 5.01、IE 6、IE 7を使用しているユーザーとなっている。

　また、正式なサポート対象リストには含まれていないIE 8 Beta 2についても、同じ日にパッチがリリースされるもようだ。

　Microsoftでは今回のパッチを、同社の4段階評価方式で最も深刻度が高い「緊急（critical）」に分類している。しかしながら、同社広報担当者のクリストファー・バド（Christopher Budd）氏は、16日付けの電子メールの中で、「現時点で確認されているのは、脆弱性を悪用したIE 7への攻撃だけだ」と述べ、セキュリティ上の脅威は限定的との認識を示している。

　当初、Microsoftや他のセキュリティ・ベンダーは、この脆弱性が存在しているのはIE 7だけだと考えていた。しかし、その後の調査で、問題のバグはIE 5.01、IE 6、IE 8 Beta 2を含む全バージョンのIEに存在することが判明した。

　Microsoftのセキュリティ研究者たちは先週末、攻撃の「大幅な増加」が見られること、しかも、まともなWebサイトがそうした攻撃の発信源になっていることを認めた。また、米国Trend Microの研究者らも、このIEの脆弱性を悪用するエクスプロイトに感染しているサイトが6,000に上っていると報告している（関連記事）。

　前出の事前通知で、Microsoftは、Outlook Express（Windows XPにバンドルされている電子メール・クライアント）を通じて攻撃が行われる可能性も認めている。Outlook Expressが、IEのエンジンを使ってHTMLベースのメッセージをレンダリングしているためだ。

　Microsoftにとって、通常の配布サイクルに含まれないパッチの緊急リリースは、過去2カ月で今回が2件目になる。同社が10月末にリリースした、Windows Serverサービスの深刻な脆弱性に対処するためのパッチが1件目だ。このときも、今回のIEと同様、Microsoftがパッチを提供する前に、その脆弱性を利用した攻撃が活発化していた。