マイクロソフト、IEの脆弱性を回避する設定変更用パッチをリリース

Robert Lemos (CNET News.com)2004年07月05日 08時00分
  • このエントリーをはてなブックマークに追加

 Microsoftは2日(米国時間)、9カ月近く前に発見されて以来Windowsユーザーを危険にさらし続けていた、Internet Exploer(IE)の脆弱性を回避する設定変更パッチをリリースした。

 この欠陥は、ActiveXスクリプトのコンポーネントの中にあるもので、先月、ウェブサイトを改ざんし、そのサイトにアクセスしたユーザーのコンピュータに悪質なプログラムをインストールする攻撃に悪用されたことで、注目を集めていた。Microsoftは、ActiveXコンポーネントがオペレーティングシステム(OS)を変更できる機能をオフにして、このセキュリティホールを塞ぐことに決定した。同社は自社サイト上でこの修正パッチを公開するとともに、Windows Updateサービスからもこのパッチをダウンロードできるようにしている。

 Microsoftでは今回変更した設定をWindowsの標準設定にする意向だが、同社はより包括的なソリューションの開発にも取り組んでいると、Microsoftセキュリティ・レスポンスセンターのプログラムマネージャー、Stephen Toulouseは述べている。

 「今回の設定変更は永久的なものだが、同時に暫定的な措置でもある。われわれはまだ調査を進めているところだ」と同氏は語り、さらに「われわれが製品の機能を調べたところ、その機能が実際に攻撃者に利用されていることが分かった」と付け加えた。

 今回修正された欠陥を悪用して、攻撃者らは複数のウェブサイトに押し入り、そのサイトを閲覧したユーザーのパソコンに「Download.Ject」や「JS.Scob.Trojan」と呼ばれるトロイの木馬プログラムをインストールする攻撃を仕掛けた。このトロイの木馬はユーザーのキー入力を記録し、海外のメールアドレスにその内容を送信する。こうしたIEのセキュリティ問題が相次いでいることから、ユーザーに他のブラウザを採用するよう勧めるセキュリティ専門家も出てきている。

 Microsoftの設定変更によって、ActiveXのADODB.screenコンポーネントは、PCのハードディスクに書き込み操作を行なえなくなる。ActiveXは、IEでウェブサイトを見る際のインタラクティブ性を向上させる技術だが、長い間、セキュリティ的に問題があると考えられてきた。

 今回の脆弱性は、約9カ月以上も前から存在が知られていたものだ、とセキュリティ会社Tipping Pointのインシデント対応ディレクター、David Endlerは述べている。

 「セキュリティ設定を変更して書き込みを禁止する方法は、しばらく前からオンラインで提供されている。しかし、だいぶ時間がかかったにしても、ついにInternet Explorerでこの問題をきちんと修正したものが広く配布されるのは良いことだ」(Endler)

 Microsoftは引き続きこの問題の調査を続け、今後さらに包括的なパッチをリリースする予定だという。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加