「Internet Explorer」にパッチ未対応の脆弱性

　Microsoftが米国時間12月9日に公開した月例パッチでは未対応の脆弱性が、新たに発見された。これは、SANS Internet Storm CenterのBojan Zdrnja氏が10日に報告したもので、XMLパーサ内でヒープオーバーフローを引き起こすというものだ。

　10日に明るみに出たこの未対応の脆弱性は、XMLタグを生成し、その後6秒間は動作せずにウイルス対策エンジンによる検出を回避しようとする。それからブラウザをクラッシュさせ、ブラウザが再起動されたときに悪意あるコードを実行するという。影響が確認されているのは「Windows XP」または「Windows Server 2003」上で「Internet Explorer 7」を使用しているユーザーだ。

　Zdrnja氏は「現時点ではこの脆弱性が広く悪用された形跡はないようだが、コードが公開されているため、近いうちにこの攻撃が広まるものと予想される」と記している。

　これに対してMicrosoftの関係者は、「（Microsoftは）Internet Explorerでの脆弱性の可能性を指摘する新たな公開情報を常に調査しており、調査が完了次第、適切な対応を取って顧客の保護に努める。具体的には、月例のセキュリティ更新に含めるか、臨時の更新として提供するか、顧客自身で保護対策を取れるような追加ガイダンスを提供する形になるだろう」と語った。

　当面の回避策として、Zdrnja氏はInternet Explorer以外のブラウザを使用することを勧めている。