悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2005年08月18日(木) 18時20分

IEに新たな脆弱性か--マイクロソフトが調査中CNET Japan

 Microsoftは、同社のウェブブラウザ「Internet Explorer」に新たな脆弱性が見つかったとする報告について調査を進めている。この脆弱性を悪用された場合、ユーザーのマシンが乗っ取られる可能性がある。これを修正するパッチはまだ出されていない。

 フランスのFrench Security Incident Response Team(FrSIRT)関係者によると、攻撃者がこの脆弱性を悪用するウェブサイトを作成して、アクセスしたユーザーのマシンを乗っ取ったり、悪質なソフトウェアをインストールしたりするおそれがあるという。FrSIRTではこの脆弱性の深刻度を、最高レベルの「重大(critical)」に分類している。

 同グループによると、この脆弱性を悪用するエクスプロイトコードがすでにインターネットで出回っているという。エクスプロイトコードを攻撃に応用することが可能であることから、通常、エクスプロイトコードの出回っている脆弱性ほど、そのリスクは高いとされている。

 Microsoftではこの脆弱性の報告について調査を進めていると、同社関係者は米国時間17日に発表した声明のなかで語った。同社にはまだ、この脆弱性を悪用した攻撃に関する報告は1件も寄せられていないという。同社は調査の結果を踏まえて、セキュリティアップデートの公開など、ユーザー保護のための対策を講じていくと、同関係者は説明した。

 インターネットのセキュリティ監視サービスを行うWebsense は、同脆弱性の悪用を検知する仕組みを自社の監視用ソフトウェアに追加した。同社セキュリティ/調査担当シニアディレクターのDan Hubbardによると、17日午後の点では、この脆弱性を悪用するような悪質なウェブサイトは見つかっていないという。

 この脆弱性は、Microsoftが7月と8月の月例パッチで修正したセキュリティホールに似ていると、 FrSIRT関係者は述べた。

 この脆弱性が、どのようなユーザーに影響するかについては明らかになっていない。「msdds.dll」というファイルをもつWindowsマシンが、この脆弱性の影響を受けるという。FrSIRTはこのファイルがどれほど広く利用されているかについて調査を続けている。同グループの関係者によると、このファイルはMicrosoftの開発ツール「Visual Studio」とともにインストールされるほか、より一般的なソフトウェアとともにインストールされる可能性もあるという。

 「Microsoftは、このライブラリがVisual Studioと一緒にインストールされるものだと説明としているが、われわれの研究室にあるマシンにはVisual Studioがインストールされていない」(FrSIRT関係者)。同グループでは、Windows XP Service Pack 2に現在公開されているすべてのパッチを適用したシステム上で稼働するIE 6にも、この脆弱性が存在することを確認していると、この関係者は述べている。

 一方、Websenseは、Microsoftが7月と8月の月例パッチで対応した脆弱性を悪用するウェブサイトを発見している。これらのウェブサイトに埋め込まれた悪質なコードは、脆弱性を抱えたままのWindowsマシンからアクセスしてきたIEユーザーのコンピュータにバックドアを設けると、Hubbardは述べている。

 Websenseによると、Microsoftが先週「 Security Bulletin MS05-038 」のなかで公表したIEの脆弱性を悪用するサイトは二十数カ所存在しているという。また、7月に「 Security Bulletin MS03-037 」で修正されたセキュリティホールを悪用するサイトの数は約200カ所にものぼると、Hubbardは説明している。

 なお、Microsoftはこれら2つの修正済み脆弱性の深刻度を「緊急」に分類し、ユーザーに対してパッチを適用するよう呼びかけていた。


この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

関連記事
マイクロソフト、8月の月例パッチを公開--6件の脆弱性を修正 - 2005/08/10 10:21
MS、7月の月例パッチを予告--WindowsとOfficeの脆弱性に対応 - 2005/07/08 13:04
IEとOutlookに重大な欠陥--米セキュリティ対策会社が報告 - 2005/04/04 10:08

 ■CNET Japanニューズレター(無料)
  毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/
(CNET Japan) - 8月18日18時20分更新

http://headlines.yahoo.co.jp/hl?a=20050818-00000011-cnet-sci

最新のニュース記事一覧
お問い合わせ