IEに新たな脆弱性--専門家、エクスプロイトコードの公開を警告

文:Joris Evers(CNET News.com) 翻訳校正:編集部2006年09月15日 12時33分
  • このエントリーをはてなブックマークに追加

 「Internet Explorer(IE)」にあるパッチ未公開の脆弱性を悪用し、Windows PCの乗っ取りを可能にするコードが、ネット上で公開されたと専門家が警告している。

 このコードは、一般に閲覧可能なウェブサイトで公開されているため、悪意を持ったユーザーが利用し、Windows搭載マシンを攻撃するための技術を開発することも可能だ。Microsoftの広報担当者は米国時間9月14日、本件について調査中であると述べた。

 「これまでの調査により、攻撃者はこのエクスプロイトコードを使うことで、メモリ破損を引き起こせることが分かった」と広報担当者は述べた。MicrosoftはWindowsのユーザーに対し、攻撃の可能性を回避するため、ActiveXとアクティブスクリプトコントロールを無効にすることを推奨した。

 Symantecが同社セキュリティ情報サービス「DeepSight」のユーザーに送った警告では、この脆弱性はActiveXコントロールのマルチメディア機能に関する問題で、悪意のあるウェブページを閲覧することにより悪用される可能性があるとしている。同社によれば、この脆弱性が原因で、攻撃者にWindows PCを乗っ取られたり、IEがクラッシュしたりする可能性があるという。

 フランスのFrench Security Incident Response Team(FrSIRT)が13日に出した警告によれば、現在ある全バージョンのWindowsで稼働するIEバージョン5.01および6に影響がある。FrSIRTはこの問題を、もっとも深刻な評価である「重大」に分類している。Microsoftは「Enhanced Security Configuration」を実行しているWindows 2003は、この問題に影響されないとしている。

 Microsoftは、調査が完了した段階で、このセキュリティホールに対するパッチを月例パッチの一部として公開する可能性があると述べている。Microsoftは、この新しいIEの脆弱性に対する攻撃は、現在のところ見つかっていないと述べた。

 今回の脆弱性に関する警告は、Microsoftが9月のパッチを公開してわずか数日後に出ている。Microsoftは米国時間9月12日、3つのアップデートを公開したが、そのうち2つはWindowsに関するものであり、1つは「Office」に関するものだった。Microsoftはまた、IE用のパッチで最初の2バージョンに問題が見つかったため、3つめのバージョンを公開している。

 ここ数ヵ月間、月例パッチの直後に新しい攻撃が報告される傾向にある。一部の専門家は、この時期に新しい攻撃が現れるのは偶然ではなく、Microsoftが次のパッチを公開するまでの1ヶ月間を攻撃者は最大限に活用しようとしているのだと指摘している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加