Microsoftは米国時間3月1日、新たな脆弱性を警告している。攻撃者が利用すると、「Internet Explorer」(IE)を稼働する古いバージョンの「Windows」の制御を奪うことができるもので、その概念実証エクスプロイトコードが公開されていた。
この脆弱性の影響を受けるのは、「Windows 2000」「Windows XP」「Windows Server 2003」を搭載するシステム。Microsoftのセキュリティアドバイザリによると、脆弱性は、「VBScript」がWindowsヘルプファイルとやり取りする方法に存在するという。VBScriptは、ウェブページに埋め込まれた機能を実行するためのActive Scripting言語である。
攻撃例としては、ユーザーを何らかの方法で、特別な細工が仕掛けられたダイアログボックスを表示する悪質なウェブサイトを訪問するように導くというケースが考えられるとMicrosoftは述べた。ダイアログボックスは、F1キーを押すようにユーザーを促す。F1キーを押すと、ユーザーのコンピュータにマルウェアがインストールされる。F1キーは通常、ヘルプ機能を表示するために使用するものである。
「Windows Vista」「Windows 7」「Windows Server 2008」は、影響を受けない。Windows Server 2003では、デフォルトで「Enhanced Security Configuration」が有効になっているため、問題は軽減される。
アドバイザリには、ウェブサイトで促されてもF1キーを押さないこと、「Windowsヘルプシステム」へのアクセスを制限すること、インターネットとローカルイントラネットのセキュリティゾーンの設定を「高」にしてActiveXコントロールとActive Scriptingを遮断すること、Active Scriptingを実行する前にメッセージを表示するようにIEを設定するか、インターネットとローカルイントラネットのセキュリティゾーンでActive Scriptingを無効にすることなど、いくつかの回避策が示されている。
Microsoftはアドバイザリと声明で、この脆弱性が責任を持って開示されなかったことに対し、不満を表明した。この脆弱性は2月26日に、iSEC Security Researchが発表した概念検証コードによって公表された。
この脆弱性の影響を受けたと思われるユーザーは、Microsoftのウェブサイト「Consumer Security Support Center」を参照してほしい。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス