 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
攻撃目的に悪用されないと思われていたIEの脆弱性に攻撃コードが出現 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトは22日、リモートでコードが実行される恐れがある脆弱性がInternet Explorer(IE)に存在するとして、セキュリティアドバイザリ(911302)で警告した。デンマークのSecuniaでは、すでに攻撃コードが公開されているとしており、危険度は5段階で最も深刻な“Extremely critical”。現在のところ、マイクロソフトからセキュリティ修正プログラム(パッチ)は提供されていないが、インターネットのセキュリティゾーンの設定を変更することで脆弱性を回避できるという。 脆弱性が存在するIEは、IE6(64bit版を含むWindows Server 2003/ 2003 SP1およびWindows XP SP2)、IE6 SP1(Windows XP SP1/2000 SP4/Me/98SE/98)、IE5.5 SP2(Windows Me)、IE5.01 SP4(Windows 2000 SP4)。 これらのIEには、Windowオブジェクトをポイントする「onLoad」イベントを含むWebサイトにアクセスした際、攻撃者によって任意のコードが実行されることでシステムメモリが破損する恐れがある。 マイクロソフトではこの脆弱性を調査中で、現時点では修正パッチは提供していない。ただし、インターネットのセキュリティゾーンの設定を変更することで脆弱性を回避できるという。具体的な回避策は、1)インターネットとイントラネットゾーンでアクティブスクリプトが実行される前にダイアログを表示する設定、もしくはアクティブスクリプトを無効にする設定に変更する、2)インターネットとローカルイントラネットゾーンの設定を「高」にし、アクティブスクリプトを実行する前にダイアログを表示する、3)閲覧を「信頼済みサイト」のみに制限する――の3つ。 マイクロソフトでは、今回の脆弱性について「5月にブラウザが閉じるという安定性に関する問題として報告されていた」とコメント。Secuniaでも5月31日に警告していたが、当初は「攻撃目的に悪用されない」として危険度は5段階中最も低い“Not critical”としていた。 その後、11月21日付で英国のセキュリティ対策ベンダーであるComputer Terrorismが攻撃の可能性を実証するコードを発表。これを受けてマイクロソフトのほか、Secuniaなどのセキュリティ対策ベンダー各社では警告を呼び掛けていた。 関連情報 ■URL マイクロソフトのセキュリティアドバイザリ(911302) http://www.microsoft.com/japan/technet/security/advisory/911302.mspx Secuniaのアドバイザリ(英文) http://secunia.com/advisories/15546/ Computer Terrorismのアドバイザリ(英文) http://www.computerterrorism.com/research/ie/ct21-11-2005 ■関連記事 ・ IE6に脆弱性、悪意のあるJavaScriptでDoS攻撃の可能性も(2005/06/01)
( 鷹木 創 )
- ページの先頭へ-
|
