まだ修正パッチが提供されていないこのセキュリティ・ホールに対し、主に中国からのゼロデイ攻撃が確認されています

しばらく Internet Explorer は自粛した方が良いでしょう（マイクロソフトによればIE7以降の「保護モード」によりこのセキュリティ・リスクは回避可能されるとのことだが、デフォルトでは「信頼済み」サイトは保護モードが有効にならないので、やはり使用しない方が良い）

• 公式情報
  • http://www.microsoft.com/japan/technet/security/advisory/961051.mspx

• 日本語情報
  • 新たに確認されたMicrosoft Internet Explorerの脆弱性
  • 【セキュリティ ニュース】トレンドマイクロ、IEやワードパッドのゼロデイ攻撃を確認 - 国内で検体も収集（1ページ目 / 全1ページ）：Security NEXT 2008-12-13 追加
  • ログインしてください：日経 xTECH（クロステック） 2008-12-13 追加

• 英語情報
  • Internet Explorer XML Processing Memory Corruption（英語）
  • Blog | BeyondTrust（英語） 2008-12-12 追加

パッチが公開されるまで時間がかかるかもしれないので、IEはしばらく使わない方がよいでしょう（Secunia での危険度指定も最大です）

• 続報：最新のマイクロソフト・アドバイザリによるとIE7だけでなくIE6にもIE5〜IE8まで影響があるそうです 2008-12-12 追加
  
• 「Internet Explorer」のパッチ未対応の脆弱性、影響は全バージョンに - ZDNet Japan 2008-12-15 追加

IE全滅...

それでもIEを使いたい人がとるべき対策 2008-12-15 追加

• ログインしてください：日経 xTECH（クロステック）
  • インターネット／ローカルイントラネットゾーンの設定を「高」に設定し、ActiveXコントロール／アクティブスクリプトを実行する前にダイアログを表示する
  • インターネット／イントラネットゾーンで、アクティブスクリプトの実行前にダイアログを表示するようにする／アクティブスクリプトを無効にする
  • IE7のDEPを有効にする
  • XMLアイランド機能を無効にする
  • ACLを使用してOLEDB32.DLLを無効にする
  • OLEDB32.dllのRow Position機能を無効にする
  • OLEDB32.DLL の登録を解除する
  • ACL を使用して OLEDB32.DLL を無効にする
  • Windows Vista／Server 2008上のIE7でDEPを有効にする
  • IE8ベータ2のデータバインディングサポートを無効にする

あり得ない...

続報

情報が溢れてきた

• http://www.computerworld.jp/topics/ms/129930.html 2008-12-15 追加
• JVNVU#493881: Microsoft Internet Explorer のデータバインディング処理における脆弱性 2008-12-16 追加
• http://www.computerworld.jp/topics/ms/130069.html 2008-12-16 追加

マイクロソフトの正式対応 2008-12-17 追加

• Internet Explorer のゼロディ攻撃に対応策発表される - digital 千里眼 @abp_jp

被害状況 2008-12-22 追加

• 【緊急レポート】日本国内でも始まっていたIEのゼロデイ攻撃

日本のサーバーも改ざんされ、攻撃の踏み台に利用されたようです