Internet Watch logo
記事検索
最新ニュース

IEに未パッチの脆弱性がまた見つかる、許可なしでHTAアプリ実行の恐れ


 Internet Explorer(IE)に修正プログラム(パッチ)未提供の脆弱性がまた指摘された。デンマークのSecuniaでは27日、この脆弱性の危険度を5段階中で2番目に深刻な“Highly critical”と評価して警告している。

 この脆弱性は、オランダ人プログラマーのJeffrey van dar Stad氏が3月13日に明らかにしたもの。HTA(HTMLアプリケーション)形式のファイルを扱うアプリケーションを処理する際に、IEにおいて詳細不明のエラーが発生することが原因で、悪意のあるサイトにアクセスした場合、ユーザーの許可なしにHTAアプリケーションが実行される恐れがあるという。

 Jeffrey氏は、Windows 2003 Server、Windows XP MCE、Windows XP/98上で動作するIE 6でこの脆弱性を確認した。また、Jeffrey氏がWindows 2000を所有していないため確認できていないが「(Windows 2000でも)まず間違いなく脆弱性はあるだろう」と指摘している。なお、3月20日にリリースされたIE 7 Beta 2のプレビュー版には影響しない。

 現時点でマイクロソフトからのパッチは提供されていない。現時点での回避策は信用できないWebサイトへのアクセスを控えることだ。また、証明されてはいないものの、アクティブスクリプトを無効にすることも効果があるようだ。

 この脆弱性を修正するパッチが4月の月例セキュリティパッチに含まれるかどうかは不明だが、マイクロソフトでは「現在調査を進めているところ」とコメントしている。3月に入ってIEには、このほかにも未パッチの脆弱性が指摘されていた。


関連情報

URL
  Secuniaのアドバイザリ(英文)
  http://secunia.com/advisories/19378/
  Jeffrey van dar Stad氏のWebサイト(英文)
  http://jeffrey.vanderstad.net/grasshopper/

関連記事
IEの「createTextRange()メソッド」に深刻な脆弱性、悪質コードに警戒(2006/03/27)
IEの危険な脆弱性、マイクロソフトが今後のパッチで対応予定(2006/03/24)


( 鷹木 創 )
2006/03/27 19:00

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.