MS、月例パッチ前にVML脆弱性を修正か--攻撃の急増で

文:Joris Evers(CNET News.com) 翻訳校正:編集部2006年09月26日 17時36分

 Microsoftは、月例パッチリリースの前に「Internet Explorer」のセキュリティアップデートを行うかもしれない。

 このアップデートは、ウェブブラウザが特定のグラフィックファイルを処理する部分にある深刻な脆弱性を修正するもの。この脆弱性が最初に明らかになったのは先週のことで、セキュリティ専門家が米国時間9月25日に警告したところによると、これを利用したIEユーザーへの攻撃は急増しているという。

 Microsoftの関係者は22日、「アップデートに向け、ノンストップで作業を進めている」と同社ブログで記している。同関係者によると、パッチは現在テスト段階に入っており、次に予定されているMicrosoftの月例パッチリリース日(10月10日)の前に完成した場合は、これを待たずにリリースされるだろうという。

 セキュリティ企業のWebsenseは9月25日、この脆弱性を突いた攻撃は広がっており、現在では、ユーザーを悪意あるウェブサイトに誘導するための電子メールも登場している、と報告した。「われわれは、コードを悪用するスクリプトをホスティングしているウェブサイトに誘導する大量のメールも確認している」とWebsenseは述べている。

 ある例では、グリーティングカードを利用してこの脆弱性を悪用しようとする攻撃者もいるという。この場合、一見するとグリーティングカードのようにみえる電子メールが使われている。だが、カードを見るためにリンクをクリックすると、悪意あるウェブサイトに誘導され、キーロギングソフトウェアのインストールが気付かれないように試みられる。

 このIEの脆弱性は、“vgx.dll”といわれるWindowsコンポーネントに存在する。このコンポーネントは、OSにあるVector Markup Language(VML)ドキュメントをサポートするもの。VMLはウェブ上で高品質ベクターグラフィックを実現する際に利用される。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]