 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
IEに未パッチの脆弱性、Microsoftでも確認済み |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
デンマークSecuniaや仏FrSIRTは22日、Internet Explorer(IE)にパッチ未提供の脆弱性が確認されたと発表した。細工を施したWebサイトを閲覧するだけでエラーが引き起こされ、リモートから任意のコードを実行される恐れがあるという。 Secuniaでは危険度を、5段階中で上から2番目の“Highly critical”とレーティングして警告している。仏FrSIRTでも危険度を4段階中でも最も高い“Critical”としている。 Secuniaによれば、この脆弱性は「createTextRange()」メソッドの処理におけるエラーが原因。パッチをすべて適用したWindows XP SP2とIE 6.0のほか、次期バージョンであるIE 7 Beta 2のプレビュー版でもこの脆弱性を確認したという。また、その他のバージョンでも影響を受ける可能性があるとしており、信頼できないサイトを閲覧しないよう呼びかけている。 この脆弱性については、Microsoftの「Microsoft Security Response Center Blog!」でも言及している。まだ調査中であるものの、同社でも脆弱性を確認したとして、セキュリティアドバイザリを作成中だという。さらにセキュリティアップデートで修正するだろうともコメントしている。 なお、同ブログによれば、IE 7 Beta 2プレビュー版については、ラスベガスで開催された「MIX06」で配布されたアップデート版(同社サイトでもダウンロード配布)はこの脆弱性の影響を受けないとしている。また、同社の初期調査により、アクティブスクリプトを無効にすることでこの脆弱性を悪用した攻撃を回避できることがわかったとしている。 【追記 2006/03/24 14:25】 Secuniaは23日、この脆弱性の危険度を5段階中で最も高い“Extremely critical”に引き上げた。これを悪用する攻撃コードも公開されたとしている。 また、マイクロソフトでも24日、セキュリティアドバイザリを公開し、影響を受けるバージョンや回避策について説明している。 関連情報 ■URL Secuniaのセキュリティアドバイザリ(英文) http://secunia.com/advisories/18680/ FrSIRTのセキュリティアドバイザリ(英文) http://www.frsirt.com/english/advisories/2006/1050 「Microsoft Security Response Center Blog!」の該当記事(英文) http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx マイクロソフトのセキュリティアドバイザリ http://www.microsoft.com/japan/technet/security/advisory/917077.mspx ■関連記事 ・ IEの危険な脆弱性、マイクロソフトが今後のパッチで対応予定(2006/03/24)
( 永沢 茂 )
- ページの先頭へ-
|
