マイクロソフト、VBScriptのゼロデイ脆弱性を警告--Windows XPなどが影響

文:Elinor Mills(CNET News) 翻訳校正:編集部2010年03月02日 12時20分

 Microsoftは米国時間3月1日、新たな脆弱性を警告している。攻撃者が利用すると、「Internet Explorer」(IE)を稼働する古いバージョンの「Windows」の制御を奪うことができるもので、その概念実証エクスプロイトコードが公開されていた。

 この脆弱性の影響を受けるのは、「Windows 2000」「Windows XP」「Windows Server 2003」を搭載するシステム。Microsoftのセキュリティアドバイザリによると、脆弱性は、「VBScript」がWindowsヘルプファイルとやり取りする方法に存在するという。VBScriptは、ウェブページに埋め込まれた機能を実行するためのActive Scripting言語である。

 攻撃例としては、ユーザーを何らかの方法で、特別な細工が仕掛けられたダイアログボックスを表示する悪質なウェブサイトを訪問するように導くというケースが考えられるとMicrosoftは述べた。ダイアログボックスは、F1キーを押すようにユーザーを促す。F1キーを押すと、ユーザーのコンピュータにマルウェアがインストールされる。F1キーは通常、ヘルプ機能を表示するために使用するものである。

 「Windows Vista」「Windows 7」「Windows Server 2008」は、影響を受けない。Windows Server 2003では、デフォルトで「Enhanced Security Configuration」が有効になっているため、問題は軽減される。

 アドバイザリには、ウェブサイトで促されてもF1キーを押さないこと、「Windowsヘルプシステム」へのアクセスを制限すること、インターネットとローカルイントラネットのセキュリティゾーンの設定を「高」にしてActiveXコントロールとActive Scriptingを遮断すること、Active Scriptingを実行する前にメッセージを表示するようにIEを設定するか、インターネットとローカルイントラネットのセキュリティゾーンでActive Scriptingを無効にすることなど、いくつかの回避策が示されている。

 Microsoftはアドバイザリと声明で、この脆弱性が責任を持って開示されなかったことに対し、不満を表明した。この脆弱性は2月26日に、iSEC Security Researchが発表した概念検証コードによって公表された。

 この脆弱性の影響を受けたと思われるユーザーは、Microsoftのウェブサイト「Consumer Security Support Center」を参照してほしい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]