マイクロソフトはInternet Explorer 6〜8のユーザ向けに定例外のセキュリティ更新をリリースしている。

Advisory_2704220

 マイクロソフトは次のように述べている。「この問題により影響を受ける顧客の数は限定的だとみているが、将来さらに多くの顧客に影響を及ぼす可能性がある。」

 可能性ねえ。現在、このIEの脆弱性が、Blackholeのような有名なエクスプロイト・キットに組み込まれている証拠がある。できる限り早くアップデートするように。

 次はJava。すでにアップデートをしていてしかるべきものだ(仮にいまだに使っているものとして)。

 CVE-2013-0422というJava(JRE)エクスプロイトが、我々が先週検知したものの上位陣の中でどのように見えるかを以下に示す。

java0daystats

 ご覧のとおり、感染率は中程度で留まっているが、上がっている。これは、すべての人がJavaの最新バージョン(7u11)を実行しているわけではないことと、エクスプロイト・キットがバージョン・チェックを行っていることに起因する。そのため我々はJavaの以前のバージョンに対するエクスプロイトを以前にも増して目にしている。したがって、現行バージョンにアップデートすることは重要なのだ!

 加えて、オラクルは次のように述べている。「このアラートの修正点として、デフォルトのJavaのセキュリティ・レベルの設定を「中」から「高」に変更したことが含まれる。「高」の設定では、署名がなされていないJavaアプレットやJava Web Startアプリケーションが起動する前に、常にプロンプトが表示される。」

 以下がそのプロンプトだ。

Java_7u11_prompt_unsigned

 以下は自己署名したアプリケーションのプロンプトである。

Java_7u11_prompt_signed