Internet Watch logo
記事検索
最新ニュース

IEの修正プログラム「MS03-032」が脆弱性を修正できていないことが判明

~ActiveXとプラグインを無効にすれば一時的に回避可能

IEの「インターネットオプション」から「セキュリティ」タブを開き、そこの「レベルのカスタマイズ」で「ActiveXコントロールとプラグインの実行」の項目を「無効にする」に設定すれば回避できる
 セキュリティ関連企業GreyMagic社やSecunia社は、Microsoftが配布しているInternet Explorer(IE)用の累積的修正プログラム「MS03-032」が、「オブジェクトタグのデータ属性で示されたURLの処理に関する脆弱性」を修正できていないことを指摘した。したがって、修正パッチを当てていても脆弱性が存在するが、回避策は紹介されている。

 今回、修正できていないことが判明した「オブジェクトタグのデータ属性で示されたURLの処理に関する脆弱性」は、Web閲覧中などにWebサーバーから返されるレスポンスを、IEが適切に確認できていないことが原因で発生する脆弱性だ。IE 5.01/5.5/6に存在している。

 この脆弱性を悪用し、レスポンスに悪意のあるコードを埋め込んだ場合、任意のコードが実行される可能性がある。これは、メールに貼られたリンクやWebサイトを閲覧しただけで実行される可能性がある。これはきわめて危険であり、Nimda、BadTrans、Klezのような感染力の非常に強いウィルスに悪用された「MSO1-020」の脆弱性に酷似している。

 累積パッチが不十分であることを発見した「http-equiv」氏によると、この脆弱性から身を守るためには、ActiveXコントロールとプラグインを無効にしなければならない。具体的には、IEの「インターネットオプション」から「セキュリティ」タブを開き、そこの「レベルのカスタマイズ」で「ActiveXコントロールとプラグインの実行」の項目を「無効にする」に設定すればよい。ただし、「ActiveXコントロールとプラグインの実行」を無効にすると、WindowsUpdateが利用できなくなるので、注意が必要だ。

 セキュリティ企業のSecunia社は、この脆弱性が存在しているかどうかを確認するためのWebサイトを用意している。そのWebサイト上のリンクをクリックして何も表示されなければ、脆弱性が存在していないことになる。


関連情報

URL
  GreyMagic社のアドバイザリー(英文)
  http://greymagic.com/adv/gm001-ie/
  Secunia社のアドバイザリー(英文)
  http://www.secunia.com/advisories/9580/
  BAD NEWS: Microsoft Security Bulletin MS03-032(英文)
  http://lists.netsys.com/pipermail/full-disclosure/2003-September/009639.html

IEにWebなどを閲覧しただけで任意のコードが実行できる脆弱性(2003/08/21)


( 青木大我 taiga@scientist.com/大津 心 )
2003/09/09 12:38

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.