IE 6の脆弱性、最高レベルの深刻度に--セキュリティ対策企業が評価引き上げ

　MicrosoftのInternet Explorer（IE）に存在する脆弱性を悪用するコードがインターネットで公開されたことを受け、セキュリティ対策企業は3つの脆弱性について、警戒を呼びかけている。

　Secuniaは米国時間7日、IEに存在する3つの脆弱性に対する深刻度の評価を、同社の基準で最も高いレベルとなる「非常に危険」に引き上げた。Secuniaの最高技術責任者（CTO）Thomas Kristensenによると、攻撃者がIE 6に存在するこれらの脆弱性を悪用した場合、スパイウェアやポルノダイヤラー（ポルノなどの有料サイトに電話をかけるソフトウェア）を、ユーザーのPCに密かに忍び込ませ、実行させることができてしまうという。

　これらの脆弱性のうち、HTML Helpコントロールの脆弱性については、昨年12月21日にGreyHats Security Groupがインターネットで勧告を発表しており、それとともに実証コードが公開されていた。

　「われわれは、実証コードが出回っていること、そしてユーザーが何もしなくてもそのコードが実行されてしまう可能性があること、という2つの条件をクリアした脆弱性だけを『非常に危険』と分類している。『非常に危険』というのは、われわれの評価で最も深刻度が高く、ユーザーに対してはシステムへのパッチ適用を促す最終警告の意味も持つ」（Kristensen）

　Secuniaによると、この実証コードの影響を受けるシステムはWindow XPで、Service Pack 2（SP2）が適用されているマシンも例外ではないという。同社は、Microsoftがパッチを開発するまでは、予防措置としてIEのActive Xコントロールの設定を無効にしておくことを勧めている。また同社では、IE以外のブラウザを使うことも対策の1つとして推奨している。

　Secuniaが勧告のなかで警告しているもう1つの脆弱性は、HTML Helpコントロールの脆弱性とドラッグ＆ドロップの脆弱性を組み合わせて悪用すると、リモートPCを攻撃できてしまうというもの。ただし、こちらはユーザーのアクションがないと機能しない。同社は、これらの3つのセキュリティホールに関する警告の第一報を昨年10月に発表していた。

　「Microsoftは、このセキュリティホールについて10月から知っていたはずだ。脆弱性が公開されてから2カ月たっているのに、いまだにパッチがリリースされていないというのは、ひどい話だと私は思う。（脆弱性の）詳細な情報が公開されている場合は、なおさらだ」とKristensenは述べ、「Microsoftは現在これら3つの脆弱性の存在を知っており、優先順位を上げて対策に取り組んでいることは確かだ」と付け加えた。

　Micorosoftによると、同社では現在これらの脆弱性に関して発表された様々な報告を調査中だという。また同社は、パッチのリリースが遅れている理由として、より効果的なパッチをつくるための追加作業によるものだと説明している。

　「セキュリティの問題に対処する際は、スピードとテスト（の完全性）の両方のバランスが求められる。リリース日が1日、あるいは1週間、もしくは1カ月のびることになったとしても、Microsoftはしっかりと設計され、できるだけ完全なテストが行われたアップデートしかリリースしない方針だ」とMicrosoftの関係者は述べ、「不完全なセキュリティアップデートをリリースすると、事態を悪化させることもある。新たな問題にハッカーの関心を引き寄せるだけの不完全なアップデートなら、出さない方がましだ」と付け加えた。

　MicrosoftではIE 6のユーザーに対して、同社の示すガイドラインをよく読み、インターネットゾーンのセキュリティレベルを「高」に設定することを推奨している。また同社は、SP2を通して引き続きセキュリティアップデートを自動更新するようユーザーに呼びかけている。

　Secuniaでは現在、システムの脆弱性をオンラインでチェックできるツールをユーザーに提供している。