お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

IEブラウザに新たな欠陥:米マイクロソフトは「調査中」

2003/06/26 10:52
  • このエントリーをはてなブックマークに追加

 セキュリティ関連のML「Bugtraq」への投稿によると、米MicrosoftのIE(Internet Explorer)ブラウザで、バッファオーバーフローが生じる欠陥があることが分かったという。セキュリティ専門家は、攻撃者がこの欠陥を悪用しインターネットのワームを生成する可能性があるとして、注意を呼びかけている。

 今回の欠陥は、HTMLドキュメントに組み込まれた悪意のあるJavaスクリプトにより、バッファオーバーフローが発生するというもの。このスクリプトが含まれるウェブページやHTMLファイルをIEのバージョン5または6で表示すると、バッファが溢れ、ブラウザがクラッシュするという。

 この欠陥が、攻撃者やワームによる、任意のコードを実行したコンピュータシステムの乗っ取りにつながる、という証拠はない。しかし、欠陥そのものは非常に重大なものである可能性が高い。

 セキュリティコンサルタントのDave Matthewsは「今回の欠陥が完全に悪用可能な状態であるとすれば、間違いなく、誰かがすでに悪巧みをしている」と語る。

 「(今回の欠陥は)かなり危険なものだ。有効なペイロード(ウイルスが損害など、何らかの作用を引き起こすメカニズム)をさらに効果の高いものに変えるよう、要求する仕組みになっている。おそらく、すでに誰かが欠陥を悪用したものを考えついているはずだ」(Matthews)

 大きな問題につながりかねない今回の欠陥は、MLで公開されたものだが、Matthewsは「MLで公開すること自体、米Microsoftに対抗しようという意図が強い」と語る。

 欠陥のコードがMLに公開されたのは6月22日の朝だったが、実際に注目を浴びたのは、米Secure Network Operationsのセキュリティ研究者、Kevin Finisterreが、実際にIE 6でのクラッシュを確認してからだった。「今回のような欠陥はいろいろな方法で発生する。たとえば電子メールやウェブページの閲覧、果てはネットワーク共有をブラウズ表示するだけでも発生する可能性がある」(Finisterre)

 Microsoftの幹部は「現在調査中であるため、実際にどの程度の脅威となるのかは推測できない」としている。

 オーストラリアのAusCERTでセキュリティアナリストを務めるJamie Gillespieは、「Microsoftは調査を行っているものの、現時点ではパッチを手に入れることはできない」と語る。「アンチウイルスソフトは、定義ファイルが更新されるまでほとんど役に立たず、更新後もその効果は限定される。望まれているのはIEのパッチなのだ」(同氏)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社