マイクロソフト、IE用パッチを臨時リリース--iFrameの脆弱性を修正

Robert Lemos (CNET News.com)2004年12月02日 09時46分

 Microsoftは1日(米国時間)、Internet Explorer(IE)の脆弱性を修正するパッチをリリースした。この脆弱性は1カ月前に見つかり、ウイルス感染やバナー広告攻撃に悪用されていたものだ。

 これまでiFrame脆弱性と呼ばれていたこの脆弱性について、MicrosoftではInternet Explorer Elementsの欠陥という呼び方をしている。この問題は、ユーザーが管理者権限でログインすると、そのユーザーのPCが攻撃者に乗っ取られるおそれがあるというもの。大半の個人ユーザーは、管理者権限でWindowsにログインしている。なお、この脆弱性はMicrosoftのWindows XP Service Pack 2(SP2)を適用済みのシステムには影響しない。

 Microsoftの関係者は、この脆弱性を利用した悪質なソフトウェアが、WindowsユーザーのPCに侵入する事件がすでに起きているため、Microsoftはこのアップデートを次回の月例パッチ公開日(12月7日)を待たずに公開した、と説明している。

 Microsoftのセキュリティ対応センターでセキュリティプログラムマネージャーを努めるStephen Toulouseは、「我々は顧客に影響が及んでいる場合や、活発な攻撃が見られる場合などには、臨時にパッチをリリースする」と述べた。

 この脆弱性が悪用されると、ユーザーが単純なリンクをクリックした際に、攻撃者にコンピュータを乗っ取られるおそれがある。攻撃者はそのコンピュータの完全な権限を入手できるので、プログラムのインストールやデータの閲覧/変更/削除、新規アカウントの作成などを行なえてしまう。

 この脆弱性に関するニュースがセキュリティ関連の公開メーリングリストに最初に投稿されてから、今回パッチがリリースされるまでに、1カ月以上の時間が経過している。Microsoftはこの投稿を批判し、公開フォーラムに問題を発表する前に、同社に問題修正の時間を少なくとも30日与えるようセキュリティ研究者らに説得することとなった。

 このIEの欠陥は、オンライン犯罪者らがユーザーのコンピュータを乗っ取るために、最新の脆弱性を積極的に利用していることを浮き彫りにした。

 11月始めにインターネット上に出現した2つのコンピュータウイルスは、IEの脆弱性を利用し、ユーザーが単純なウェブリンクをクリックするとPCに感染する仕組みになっていた。ウイルス対策メーカー各社がBofra.AとBofra.Bと呼ぶこれらのウイルスは、MyDoomのソースコードをベースにつくられたものだった。

 さらに先週には、広告配信企業Falkのサーバのうち、少なくとも1台がオンライン侵入者に乗っ取られ、同社のサービス顧客が攻撃を受けるという事件があった。対象となった顧客には、IT関連ニュースサイトのThe Registerなどが含まれていた。

 IE Elementsの欠陥は、IEバージョン6がインストールされているコンピュータに影響する。ただしSP2にアップグレードされたコンピュータには影響がない。Windows XPの最新バージョンとなるSP2は、これまでに1億3000万回以上ダウンロードされたとMicrosoftのToulouseは述べている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]