7月21日、エフセキュアは「Stuxnet」と呼ばれるUSBメモリウイルス(ルートキット)によるゼロデイ攻撃に対して注意喚起を行なった。
Stuxnetに対する修正パッチはまだ「開発中」
Stuxnetは、ショートカットファイル「.lnk」がエクスプローラーなどに読み込まれるだけでコードが実行されてしまうWindowsの脆弱性を狙う。つまり、ショートカットファイルのアイコンを表示するだけで発動する仕組みだ。
この脆弱性は、Stuxnetの調査中に発見されたとのことで、Windows 7/Vista/XPおよびWindows Sever 2008 R2/同2008/同2003と、現在マイクロソフトがサポートしているすべてのOSが対象となる。マイクロソフトは7月21日に、問題の回避策としてショートカット用アイコンの表示を無効にする方法などを提示したが、脆弱性を根本的に修正するパッチの提供は行なえていない。
マイクロソフトによる脆弱性への「回避策」。詳しくは、末尾関連サイトの「マイクロソフト セキュリティ アドバイザリ(2286198)」を参照のこと
とくにエフセキュアが注意を促しているのが、いまだ多くの企業で利用されているWindows XP Service Pack2についてだ。このSP2までしか適用していないWindows XPへのサポートは、米国時間の7月13日に終了している。そのため、エフセキュアでは「じきに配布される修正パッチでも、Windows XP Service Pack2は完全に保護されない可能性がある」とし、2014年まで延長サポート対象となるWindows XP Service Pack3へのアップグレードを行なうか、マイクロソフトが提示している回避策を実施するように勧めている。
またエフセキュアでは、修正パッチが配布されるまでの対策として、「USBメモリなどのリムーバブルメディアのセキュリティーポリシーを順守することによって、ある程度緩和できる」としている。
