報道によれば、「Internet Explorer で、新たに見つかったゼロデイ攻撃を招く脆弱性の悪用手法が公開されたことを受けて、Microsoft のセキュリティチームは現在修正パッチの開発を急いでいる。」と述べている。
Microsoft はその一方で、自動実行型スクリプト『Microsoft Fix it』を作成している。これは、一部のユーザーのシステム構成を修正し、脆弱性による危険を低減するものだ。
同社はその他の次善策などを提供しており、こうした動きは多くの顧客を保護できるかも知れないが、現在危険にさらされているすべての顧客を救うことはできない。
そこに問題がある。
Microsoft は、9日の月例更新で脆弱性を修正した際に公開したセキュリティ勧告で、「Internet Explorer 6 および Internet Explorer 7 に存在するセキュリティホールについて、現時点では限定的ではあるもののすでにゼロデイ攻撃が発生している。」として、ユーザーや管理者に警告を発している。
月例更新の翌日10日には、スクリーン名を Trancer と名乗るセキュリティ研究者が脆弱性検証ツール『Metasploit Framework』用のモジュールを作成した。
攻撃コードが組み込まれた同モジュールにより、強い悪意を持つ人間が深刻な攻撃を仕掛ける上で、手間が大幅に減るため、11日には攻撃の激しさが増す事態となった。
Microsoft が最初のセキュリティ勧告を発したとき、同社は「セキュリティ上の問題の評価を終えていない。」と述べていた。
セキュリティ勧告とは、セキュリティ上のバグに対する完全な修正パッチを含まない予備的な警告だ。
だが、この脆弱性を突く攻撃用コードが公開されたため、Microsoft は対応を急ぐことになった。
Microsoft のセキュリティ コミュニケーションズ担当上級マネージャーは、「アップデートはテスト段階にあり、完成させるべく懸命に取り組んでおり、定例外のアップデートの可能性を排除することはない。アップデートの大規模な配布準備が整えば、顧客のニーズに照らして判断を下すつもりだ。」と述べている。