悪のニュース記事悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。 また、記事に対するコメントや追加情報を投稿することが出来ます。 |
2003年06月26日(木) 11時04分
IEブラウザに新たな欠陥:米マイクロソフトは「調査中」(CNET Japan)セキュリティ関連のML「Bugtraq」への投稿によると、米MicrosoftのIE(Internet Explorer)ブラウザで、バッファオーバーフローが生じる欠陥があることが分かったという。セキュリティ専門家は、攻撃者がこの欠陥を悪用しインターネットのワームを生成する可能性があるとして、注意を呼びかけている。今回の欠陥は、HTMLドキュメントに組み込まれた悪意のあるJavaスクリプトにより、バッファオーバーフローが発生するというもの。このスクリプトが含まれるウェブページやHTMLファイルをIEのバージョン5または6で表示すると、バッファが溢れ、ブラウザがクラッシュするという。 この欠陥が、攻撃者やワームによる、任意のコードを実行したコンピュータシステムの乗っ取りにつながる、という証拠はない。しかし、欠陥そのものは非常に重大なものである可能性が高い。 セキュリティコンサルタントのDave Matthewsは「今回の欠陥が完全に悪用可能な状態であるとすれば、間違いなく、誰かがすでに悪巧みをしている」と語る。 「(今回の欠陥は)かなり危険なものだ。有効なペイロード(ウイルスが損害など、何らかの作用を引き起こすメカニズム)をさらに効果の高いものに変えるよう、要求する仕組みになっている。おそらく、すでに誰かが欠陥を悪用したものを考えついているはずだ」(Matthews) 大きな問題につながりかねない今回の欠陥は、MLで公開されたものだが、Matthewsは「MLで公開すること自体、米Microsoftに対抗しようという意図が強い」と語る。 欠陥のコードがMLに公開されたのは6月22日の朝だったが、実際に注目を浴びたのは、米Secure Network Operationsのセキュリティ研究者、Kevin Finisterreが、実際にIE 6でのクラッシュを確認してからだった。「今回のような欠陥はいろいろな方法で発生する。たとえば電子メールやウェブページの閲覧、果てはネットワーク共有をブラウズ表示するだけでも発生する可能性がある」(Finisterre) Microsoftの幹部は「現在調査中であるため、実際にどの程度の脅威となるのかは推測できない」としている。 オーストラリアのAusCERTでセキュリティアナリストを務めるJamie Gillespieは、「Microsoftは調査を行っているものの、現時点ではパッチを手に入れることはできない」と語る。「アンチウイルスソフトは、定義ファイルが更新されるまでほとんど役に立たず、更新後もその効果は限定される。望まれているのはIEのパッチなのだ」(同氏) 関連記事: Windows Server 2003、発売後2カ月で早くもパッチリリース Windows Media Playerにまたセキュリティホール 米マイクロソフト、IEとOutlookに深刻な欠陥 セキュリティ開示方法の論争に終止符を打つべくガイドライン原案が登場 この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。 海外CNET Networksの記事へ [CNET Japan] http://japan.cnet.com/ (CNET Japan) http://headlines.yahoo.co.jp/hl?a=20030626-00000001-cnet-sci |