Internet Watch logo
記事検索
最新ニュース

IEの危険な脆弱性、マイクロソフトが今後のパッチで対応予定

影響を受けるバージョンや回避策をセキュリティアドバイザリとして公表

 マイクロソフトは24日、Internet Explorer(IE)に見つかった「createTextRange()」メソッドの処理に関する脆弱性について、セキュリティアドバイザリ(917077)として公表した。同社でも脆弱性を確認したとして、当面の回避策などを示すとともに、今後のセキュリティ修正プログラム(パッチ)で対応する予定であることも明らかにした。

 この脆弱性は、「createTextRange()」メソッドの呼び出しの処理エラーが原因。細工の施されたWebページが表示されると、攻撃者によって任意のコードを実行されるような方法でシステムメモリが破損する可能性があるとしている。リンクなどを通じて悪意のあるWebサイトにアクセスさせることで脆弱性を悪用でき、その結果、攻撃者によってローカールユーザーと同じ権限を取得される可能性があるという。

 影響を受けるIEのバージョンは、Windows 2000 SP4上のIE 5.01 SP4、Windows 2000 SP4上のIE 6 SP1、Windows XP SP1上のIE 6 SP1、Windows XP SP2用のIE 6、Windows Server 2003/Windows Server 2003 SP1用のIE 6、Windows Server 2003 for Itanium-based Systems(SP1適用済みを含む)用のIE 6、Windows Server 2003 x64 Edition/Windows XP Professional x64 Edition用のIE 6、Windows Me/98SE/98上のIE 6 SP1。なお、3月20日にリリースされたIE 7 Beta 2のプレビュー版は影響を受けない。

 セキュリティアドバイザリでは、脆弱性の根本的な修正ではないとした上で、回避策として、IEでアクティブスクリプトが実行される前にダイアログを表示するよう設定する、またはアクティブスクリプトを無効にするという方法を紹介している。また、信頼できないソースからのメール内のリンクを開く際には細心の注意を払うよう呼びかけている。

 マイクロソフトによれば、この脆弱性を攻撃するコードのサンプルがすでに見つかっているという。ただし、現時点ではこれを悪用した攻撃やユーザーからの被害報告は受けていないとしている。

 この脆弱性については、すでにデンマークのSecuniaや仏FrSIRTなどが存在を確認したとして、それぞれ最も高い危険度にレーティングして警告していた。


関連情報

URL
  マイクロソフトのセキュリティアドバイザリ
  http://www.microsoft.com/japan/technet/security/advisory/917077.mspx

関連記事
IEに未パッチの脆弱性、Microsoftでも確認済み(2006/03/23)


( 永沢 茂 )
2006/03/24 14:34

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.