|
IEの「インターネットオプション」から「セキュリティ」タブを開き、そこの「レベルのカスタマイズ」で「ActiveXコントロールとプラグインの実行」の項目を「無効にする」に設定すれば回避できる
|
セキュリティ関連企業GreyMagic社やSecunia社は、Microsoftが配布しているInternet Explorer(IE)用の累積的修正プログラム「MS03-032」が、「オブジェクトタグのデータ属性で示されたURLの処理に関する脆弱性」を修正できていないことを指摘した。したがって、修正パッチを当てていても脆弱性が存在するが、回避策は紹介されている。
今回、修正できていないことが判明した「オブジェクトタグのデータ属性で示されたURLの処理に関する脆弱性」は、Web閲覧中などにWebサーバーから返されるレスポンスを、IEが適切に確認できていないことが原因で発生する脆弱性だ。IE 5.01/5.5/6に存在している。
この脆弱性を悪用し、レスポンスに悪意のあるコードを埋め込んだ場合、任意のコードが実行される可能性がある。これは、メールに貼られたリンクやWebサイトを閲覧しただけで実行される可能性がある。これはきわめて危険であり、Nimda、BadTrans、Klezのような感染力の非常に強いウィルスに悪用された「MSO1-020」の脆弱性に酷似している。
累積パッチが不十分であることを発見した「http-equiv」氏によると、この脆弱性から身を守るためには、ActiveXコントロールとプラグインを無効にしなければならない。具体的には、IEの「インターネットオプション」から「セキュリティ」タブを開き、そこの「レベルのカスタマイズ」で「ActiveXコントロールとプラグインの実行」の項目を「無効にする」に設定すればよい。ただし、「ActiveXコントロールとプラグインの実行」を無効にすると、WindowsUpdateが利用できなくなるので、注意が必要だ。
セキュリティ企業のSecunia社は、この脆弱性が存在しているかどうかを確認するためのWebサイトを用意している。そのWebサイト上のリンクをクリックして何も表示されなければ、脆弱性が存在していないことになる。
関連情報
■URL
GreyMagic社のアドバイザリー(英文)
http://greymagic.com/adv/gm001-ie/
Secunia社のアドバイザリー(英文)
http://www.secunia.com/advisories/9580/
BAD NEWS: Microsoft Security Bulletin MS03-032(英文)
http://lists.netsys.com/pipermail/full-disclosure/2003-September/009639.html
・ IEにWebなどを閲覧しただけで任意のコードが実行できる脆弱性(2003/08/21)
( 青木大我 taiga@scientist.com/大津 心 )
2003/09/09 12:38
- ページの先頭へ-
|