Internet Explorer 6に新たな脆弱性--修正用パッチは未発表

　米MicrosoftのInternet Explorer（IE）に、新たに複数のセキュリティ脆弱性が見つかった。攻撃者がユーザーのパソコンに侵入する恐れがあるというが、修正パッチはまだ提供されていない。

　これらの脆弱性が同時に悪用されると、攻撃者がユーザーのパソコン上で悪質なコードを実行できてしまう、とデンマークのセキュリティ会社Secuniaは警告している。

　これらの欠陥は先週、Liu Die Yuという研究者が公開セキュリティ掲示板への投稿で報告したもの。Microsoftの最新のセキュリティアップデートでパッチをあてたシステムにも影響がある模様だ。ユーザーは、パッチが提供されるまでInternet Explorerのアクティブスクリプト機能をオフにするか、IE以外のブラウザを使うよう推奨されている。

　アクティブスクリプトをオフにする方法は、Computer Emergency Response Teamのサイトにある。ただし、アクティブスクリプトをオフにすると、一部のサイトが正しく機能しなくなる可能性がある。

　欠陥の1つは、クロスサイトスクリプティングの脆弱性で、あるセキュリティドメイン（インターネットなど）から、別のドメイン（「マイコンピュータ」など）のセキュリティ権限でスクリプトを実行できてしまうというものだ。

　SecuniaはIE 6でこの欠陥を確認したが、IE 6より古いバージョンのIEも影響を受ける可能性がある、と同社は話している。「他のバージョンもこの脆弱性の影響が及ぶる恐れがある。他のバージョンが（セキュリティ警告に）含まれているのは、こうした欠陥の重大な危険性を考慮したためだ」と同社は声明を出している。

　Microsoftは現在この問題を調査中で、問題の深刻度に応じて、月間パッチリリースか、それとは別の形で修正パッチをリリースする可能性がある、と同社は述べている。Microsoftが最も最近リリースした累積月間パッチは、11月12日に発行されている。