IEブラウザに新たな欠陥:米マイクロソフトは「調査中」

 セキュリティ関連のML「Bugtraq」への投稿によると、米MicrosoftのIE(Internet Explorer)ブラウザで、バッファオーバーフローが生じる欠陥があることが分かったという。セキュリティ専門家は、攻撃者がこの欠陥を悪用しインターネットのワームを生成する可能性があるとして、注意を呼びかけている。

 今回の欠陥は、HTMLドキュメントに組み込まれた悪意のあるJavaスクリプトにより、バッファオーバーフローが発生するというもの。このスクリプトが含まれるウェブページやHTMLファイルをIEのバージョン5または6で表示すると、バッファが溢れ、ブラウザがクラッシュするという。

 この欠陥が、攻撃者やワームによる、任意のコードを実行したコンピュータシステムの乗っ取りにつながる、という証拠はない。しかし、欠陥そのものは非常に重大なものである可能性が高い。

 セキュリティコンサルタントのDave Matthewsは「今回の欠陥が完全に悪用可能な状態であるとすれば、間違いなく、誰かがすでに悪巧みをしている」と語る。

 「(今回の欠陥は)かなり危険なものだ。有効なペイロード(ウイルスが損害など、何らかの作用を引き起こすメカニズム)をさらに効果の高いものに変えるよう、要求する仕組みになっている。おそらく、すでに誰かが欠陥を悪用したものを考えついているはずだ」(Matthews)

 大きな問題につながりかねない今回の欠陥は、MLで公開されたものだが、Matthewsは「MLで公開すること自体、米Microsoftに対抗しようという意図が強い」と語る。

 欠陥のコードがMLに公開されたのは6月22日の朝だったが、実際に注目を浴びたのは、米Secure Network Operationsのセキュリティ研究者、Kevin Finisterreが、実際にIE 6でのクラッシュを確認してからだった。「今回のような欠陥はいろいろな方法で発生する。たとえば電子メールやウェブページの閲覧、果てはネットワーク共有をブラウズ表示するだけでも発生する可能性がある」(Finisterre)

 Microsoftの幹部は「現在調査中であるため、実際にどの程度の脅威となるのかは推測できない」としている。

 オーストラリアのAusCERTでセキュリティアナリストを務めるJamie Gillespieは、「Microsoftは調査を行っているものの、現時点ではパッチを手に入れることはできない」と語る。「アンチウイルスソフトは、定義ファイルが更新されるまでほとんど役に立たず、更新後もその効果は限定される。望まれているのはIEのパッチなのだ」(同氏)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]