マイクロソフト、VBScriptのゼロデイ脆弱性を警告--Windows XPなどが影響

　Microsoftは米国時間3月1日、新たな脆弱性を警告している。攻撃者が利用すると、「Internet Explorer」（IE）を稼働する古いバージョンの「Windows」の制御を奪うことができるもので、その概念実証エクスプロイトコードが公開されていた。

　この脆弱性の影響を受けるのは、「Windows 2000」「Windows XP」「Windows Server 2003」を搭載するシステム。Microsoftのセキュリティアドバイザリによると、脆弱性は、「VBScript」がWindowsヘルプファイルとやり取りする方法に存在するという。VBScriptは、ウェブページに埋め込まれた機能を実行するためのActive Scripting言語である。

　攻撃例としては、ユーザーを何らかの方法で、特別な細工が仕掛けられたダイアログボックスを表示する悪質なウェブサイトを訪問するように導くというケースが考えられるとMicrosoftは述べた。ダイアログボックスは、F1キーを押すようにユーザーを促す。F1キーを押すと、ユーザーのコンピュータにマルウェアがインストールされる。F1キーは通常、ヘルプ機能を表示するために使用するものである。

　「Windows Vista」「Windows 7」「Windows Server 2008」は、影響を受けない。Windows Server 2003では、デフォルトで「Enhanced Security Configuration」が有効になっているため、問題は軽減される。

　アドバイザリには、ウェブサイトで促されてもF1キーを押さないこと、「Windowsヘルプシステム」へのアクセスを制限すること、インターネットとローカルイントラネットのセキュリティゾーンの設定を「高」にしてActiveXコントロールとActive Scriptingを遮断すること、Active Scriptingを実行する前にメッセージを表示するようにIEを設定するか、インターネットとローカルイントラネットのセキュリティゾーンでActive Scriptingを無効にすることなど、いくつかの回避策が示されている。

　Microsoftはアドバイザリと声明で、この脆弱性が責任を持って開示されなかったことに対し、不満を表明した。この脆弱性は2月26日に、iSEC Security Researchが発表した概念検証コードによって公表された。

　この脆弱性の影響を受けたと思われるユーザーは、Microsoftのウェブサイト「Consumer Security Support Center」を参照してほしい。