セキュリティ関連のML「Bugtraq」への投稿によると、米MicrosoftのIE(Internet Explorer)ブラウザで、バッファオーバーフローが生じる欠陥があることが分かったという。セキュリティ専門家は、攻撃者がこの欠陥を悪用しインターネットのワームを生成する可能性があるとして、注意を呼びかけている。
今回の欠陥は、HTMLドキュメントに組み込まれた悪意のあるJavaスクリプトにより、バッファオーバーフローが発生するというもの。このスクリプトが含まれるウェブページやHTMLファイルをIEのバージョン5または6で表示すると、バッファが溢れ、ブラウザがクラッシュするという。
この欠陥が、攻撃者やワームによる、任意のコードを実行したコンピュータシステムの乗っ取りにつながる、という証拠はない。しかし、欠陥そのものは非常に重大なものである可能性が高い。
セキュリティコンサルタントのDave Matthewsは「今回の欠陥が完全に悪用可能な状態であるとすれば、間違いなく、誰かがすでに悪巧みをしている」と語る。
「(今回の欠陥は)かなり危険なものだ。有効なペイロード(ウイルスが損害など、何らかの作用を引き起こすメカニズム)をさらに効果の高いものに変えるよう、要求する仕組みになっている。おそらく、すでに誰かが欠陥を悪用したものを考えついているはずだ」(Matthews)
大きな問題につながりかねない今回の欠陥は、MLで公開されたものだが、Matthewsは「MLで公開すること自体、米Microsoftに対抗しようという意図が強い」と語る。
欠陥のコードがMLに公開されたのは6月22日の朝だったが、実際に注目を浴びたのは、米Secure Network Operationsのセキュリティ研究者、Kevin Finisterreが、実際にIE 6でのクラッシュを確認してからだった。「今回のような欠陥はいろいろな方法で発生する。たとえば電子メールやウェブページの閲覧、果てはネットワーク共有をブラウズ表示するだけでも発生する可能性がある」(Finisterre)
Microsoftの幹部は「現在調査中であるため、実際にどの程度の脅威となるのかは推測できない」としている。
オーストラリアのAusCERTでセキュリティアナリストを務めるJamie Gillespieは、「Microsoftは調査を行っているものの、現時点ではパッチを手に入れることはできない」と語る。「アンチウイルスソフトは、定義ファイルが更新されるまでほとんど役に立たず、更新後もその効果は限定される。望まれているのはIEのパッチなのだ」(同氏)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス