IE修正用の暫定セキュリティパッチ、サードパーティが先に公開

　MicrosoftのInternet Explorer（IE）に存在するセキュリティホールが明らかにされたことを受け、eEye Digital Securityは米国時間3月27日、 これに対処する暫定パッチを公開した。

　この非公式パッチは、IEの脆弱なコンポーネントに対するアクセスを遮断し、（先頃明らかにされた）脆弱性の悪用を防ぐためのものだと、eEyeのセキュリティプロダクトマネージャーSteve Manzuik氏は述べている。Microsoftはこの脆弱性の修正パッチをまだ公開していない。

　eEyeは、公開した暫定パッチについて、この脆弱性を悪用した攻撃からPCを保護することは確かだが、あくまでも最後の手段としてこれを利用して欲しいと述べている。

　「企業や団体では、Active Scriptingを無効にするという回避策を講じられない場合があるが、そうした場合にだけこのパッチをインストールすべきだ」とManzuik氏は述べている。Microsoftでは、問題の回避策としてActive Scriptingを無効にするよう勧めている。

　「このパッチは、Microsoftが予定しているパッチの代用ではない。あくまでも脆弱性の悪用から身を守るための一時的な保護策だ」（Manzuik氏）

　Manuzik氏によると、「Blink」という侵入防止製品を開発するeEyeでは顧客からの要望に応えるためにこのパッチを作成したという。「Blinkを実装していない顧客から、暫定的な解決策を求められた」と同氏は説明した。eEyeでは、このパッチを自社のウェブサイトで公開し、誰もが入手できるようにしている。

　Microsoftは、eEyeのつくったパッチの利用を推奨していない。MicrosoftのStephen Toulouse氏（同社セキュリティレスポンスセンター、プログラムマネージャー）は「われわれは、この暫定ツールをテストしていない。テストしていないものを推奨することはできない・・・顧客は、こうしたものをシステムに適用することについて、慎重になるべきだ」と述べている。

　問題の脆弱性は、IEのにおける「createTextRange()」メソッドの処理方法に関するもの。同脆弱性が先週明らかにされて以来、これを悪用するウェブサイトが200以上見つかっている。セキュリティ企業Websenseによると、こうしたサイトは、脆弱なマシンに対してスパイウェアや遠隔操作用のソフトウェア、トロイの木馬をインストールするものだという。