IEの欠陥をつくエクスプロイトコードが登場--深刻度は最高レベルに

　Internet Explorerのなかにある重大な欠陥が見つかったが、これを悪用するプログラムが公開されたことでこの脆弱性の脅威が高まっていると、セキュリティ研究者らが米国時間4日に警告を発した。

　セキュリティ情報プロバイダーのSecuniaは、新たに公開した勧告のなかで、バッファオーバーフローを引き起こすこの欠陥について、深刻度を同社の最高レベルまで引き上げている。2日に公表されたこの脆弱性が悪用されると、Internet Explorerが特別にフォーマットしたウェブページを読み込んだ際に、悪質なプログラムを起動してしまうという。なおWindows XP Service Pack 2を適用したPCでは、この欠陥による影響はないとSecuniaは説明している。

　「実際に動作する悪用コードが公開メーリングリストで配布されていることから、この欠陥は『極めて深刻』といえる」（Secunia）

　Iframeと呼ばれるこの欠陥は、Internet Explorerに関する一連のセキュリティ問題の最新のもの。MicrosoftはInternet Explorerを利用した詐称テクニックを「欠陥」でかたづけられるのかどうかという論争にも巻き込まれている。先月にはセキュリティベンダー各社が、Microsoftのブラウザをはじめとする主要ウェブソフトに見つかった一連のセキュリティホールに関して警告を発していた。

　Microsoftは、CNET News.comに宛てた電子メールによる声明のなかで、同社ではIframeの脆弱性に関する調査を開始しているものの、この欠陥を悪用するプログラムはまだ確認していない、と述べている。

　「Microsoftは、この調査が完了した時点で顧客を守るべく適切な対策を講じる。顧客のニーズに応じて、月次リリースプロセスもしくは緊急セキュリティアップデートによる修正提供などを考えている」（同社の声明）

　同社はまた、この脆弱性が自社への通知前に一般に公表されたことを問題視している。

　「Microsoftは、Internet Explorerの新たな脆弱性に関する報告が迅速に明らかにされず、コンピュータユーザーが危険にさらされるおそれがあったことを懸念している」（同社の声明）

　現時点でユーザーが採れる選択肢はふたつある。Windows XP SP2を適用するか、それとも他のブラウザを使用するか、どちらかだ。

　米国のComputer Emergency Readiness Team (US-CERT)でも、政府や企業ユーザーに対してIframeの欠陥に関する警告を発している。同団体の勧告によれば、この問題の原因はInternet Explorerがあるフレームのアトリビュートを処理する際のやり方にあるという。フレームとは、1つのブラウザウィンドウを分割して使い、それぞれに別々のコンテンツを表示させる方法をいう。

　US-CERTはこの警告のなかで、Active Xを利用する他のプログラムがこの脆弱性の影響を受ける可能性があるとも述べている。影響を受けるプログラムのなかには、MicrosoftのOutlookおよびOutlook Express、AOLのウェブブラウザ、そしてLotus Notesが含まれている。