IEに新たな脆弱性か--マイクロソフトが調査中

　Microsoftは、同社のウェブブラウザ「Internet Explorer」に新たな脆弱性が見つかったとする報告について調査を進めている。この脆弱性を悪用された場合、ユーザーのマシンが乗っ取られる可能性がある。これを修正するパッチはまだ出されていない。

　フランスのFrench Security Incident Response Team（FrSIRT）関係者によると、攻撃者がこの脆弱性を悪用するウェブサイトを作成して、アクセスしたユーザーのマシンを乗っ取ったり、悪質なソフトウェアをインストールしたりするおそれがあるという。FrSIRTではこの脆弱性の深刻度を、最高レベルの「重大（critical）」に分類している。

　同グループによると、この脆弱性を悪用するエクスプロイトコードがすでにインターネットで出回っているという。エクスプロイトコードを攻撃に応用することが可能であることから、通常、エクスプロイトコードの出回っている脆弱性ほど、そのリスクは高いとされている。

　Microsoftではこの脆弱性の報告について調査を進めていると、同社関係者は米国時間17日に発表した声明のなかで語った。同社にはまだ、この脆弱性を悪用した攻撃に関する報告は1件も寄せられていないという。同社は調査の結果を踏まえて、セキュリティアップデートの公開など、ユーザー保護のための対策を講じていくと、同関係者は説明した。

　インターネットのセキュリティ監視サービスを行うWebsense は、同脆弱性の悪用を検知する仕組みを自社の監視用ソフトウェアに追加した。同社セキュリティ／調査担当シニアディレクターのDan Hubbardによると、17日午後の点では、この脆弱性を悪用するような悪質なウェブサイトは見つかっていないという。

　この脆弱性は、Microsoftが7月と8月の月例パッチで修正したセキュリティホールに似ていると、 FrSIRT関係者は述べた。

　この脆弱性が、どのようなユーザーに影響するかについては明らかになっていない。「msdds.dll」というファイルをもつWindowsマシンが、この脆弱性の影響を受けるという。FrSIRTはこのファイルがどれほど広く利用されているかについて調査を続けている。同グループの関係者によると、このファイルはMicrosoftの開発ツール「Visual Studio」とともにインストールされるほか、より一般的なソフトウェアとともにインストールされる可能性もあるという。

　「Microsoftは、このライブラリがVisual Studioと一緒にインストールされるものだと説明としているが、われわれの研究室にあるマシンにはVisual Studioがインストールされていない」（FrSIRT関係者）。同グループでは、Windows XP Service Pack 2に現在公開されているすべてのパッチを適用したシステム上で稼働するIE 6にも、この脆弱性が存在することを確認していると、この関係者は述べている。

　一方、Websenseは、Microsoftが7月と8月の月例パッチで対応した脆弱性を悪用するウェブサイトを発見している。これらのウェブサイトに埋め込まれた悪質なコードは、脆弱性を抱えたままのWindowsマシンからアクセスしてきたIEユーザーのコンピュータにバックドアを設けると、Hubbardは述べている。

　Websenseによると、Microsoftが先週「Security Bulletin MS05-038」のなかで公表したIEの脆弱性を悪用するサイトは二十数カ所存在しているという。また、7月に「Security Bulletin MS03-037」で修正されたセキュリティホールを悪用するサイトの数は約200カ所にものぼると、Hubbardは説明している。

　なお、Microsoftはこれら2つの修正済み脆弱性の深刻度を「緊急」に分類し、ユーザーに対してパッチを適用するよう呼びかけていた。