08/12/16 08:19:16 A8jOdGpu0
URLリンク(itpro.nikkeibp.co.jp)
パッチが提供されないIEの脆弱性、「IE7以外も影響、回避策は複数」
マイクロソフトは2008年12月15日、Internet Explorer(IE)の新しい脆弱(ぜいじゃく)性に関する情報を更新。
IE7だけではなく、IE6やIE8ベータ版なども影響を受けることを明らかにするとともに、設定変更などによる回避策を複数公開した。
セキュリティ更新プログラム(修正パッチ)は依然未公開。
米マイクロソフトや米国のセキュリティ組織・企業各社は2008年12月10日(米国時間)、IE7には、HTMLファイル処理に関する脆弱性が見つかったとして注意を呼びかけた。
細工が施されたWebページにアクセスするだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。
実際、その脆弱性を突いた「ゼロデイ攻撃」が出現。ゼロデイ攻撃の確認により、今回の脆弱性の存在が明らかとなった。
当初、攻撃は限定的だったものの、現在では広まっている模様。
脆弱性を悪用するプログラム(コード)が、SQLインジェクション攻撃などにより、正規のサイトに埋め込まれる事例も複数確認されている。
そこでマイクロソフトでは、今回の脆弱性に関する情報(セキュリティアドバイザリ)を2008年12月11日に公開。
脆弱性の存在や回避策を公表した。翌12月12日には、同情報を更新して、影響を受ける製品や回避策に関する情報を追記した。
具体的には、12月11日時点ではIE7のみが影響を受けるとしていたが、
その後の調査により、現在サポート対象となっているすべての IE―IE 5.01/6 SP1(これらはWindows 2000のみ)、IE 6、IE8ベータ版―も影響を受けることが明らかになったという。