2004年07月05日(月) 22時53分

IEへの攻撃回避のため、ActiveXを無効にする修正プログラムが公開（MYCOM PC WEB）

「Download.Ject」などと呼ばれ、Internet Explorerの脆弱性を悪用してキーボード入力などの情報を盗む攻撃に対への対策として、マイクロソフトが修正プログラムの配布を開始した。同社Webサイト、またはWindows Updateから入手可能。

今回の攻撃は、IEを使い、WebアプリケーションからHDD上のファイルの読み書きを行う際に利用される「ADODB.Stream」オブジェクトを悪用して行われる。公開された修正プログラムは、ActiveXコントロールであるADODB.Streamを無効にすることで攻撃を回避しようというもので、手動でレジストリを変更することで同様の対策は行えるが、それを自動化するためのプログラムだ。

この修正プログラムを適用しても、レジストリを変更するだけで、脆弱性を修正する根本的な対策ではないが、今回の攻撃を回避することができるため、ユーザーにはこのプログラムを適用することが推奨されている。

今回の攻撃にはIEの未修正の脆弱性も利用されているが、これについては現在修正パッチを用意中と見込まれており、それがリリースされるまでの暫定的な対策として利用すべきだろう。

なお、現在ベータテスト中のWindows XP SP2 RC2では、今回の攻撃の影響は受けない、とされている。

IEにWebサイトアクセスで情報が盗まれる脆弱性 - JavaScriptの無効で回避
http://pcweb.mycom.co.jp/news/2004/06/28/007.html

マイクロソフト
http://www.microsoft.com/japan/

（MYCOM PC WEB）

http://headlines.yahoo.co.jp/hl?a=20040706-00000097-myc-sci