2005年11月22日(火) 22時16分
IEに新たな脆弱性 - パッチ未提供で実証コードが公開される0-dayアタック(MYCOM PC WEB)
米Microsoftは21日(現地時間)、Internet Explorerの新たな脆弱性を公表した。攻撃が成功すると攻撃者に任意のコマンドの実行を許してしまう脆弱性で、管理者権限で運用している場合はリモートからシステムを乗っ取られる危険もある。パッチは未提供で、仏インシデント対応機関FrSIRTによる危険度評価は最も重い「Critical」となっている。
デンマークのセキュリティ企業Secuniaは影響を受ける製品として、Internet Explorer 5.5 / 6.xとしている。またMicrosoftは、Windows Server 2003 / 2003 SP1 / 2003 for Itanium-based Systems / 2003 x64 Edition環境のInternet Explorerは、Enhanced Security Configurationを利用している場合、この脆弱性の影響を受けないとしている。
今回発表された脆弱性は、JavaScriptのonloadイベントによって呼び出されるwindowオブジェクが引き起こすもの。これらの細工が施されているWebページなどのHTMLを読み込むと、メモリーの書き換えエラーが発生し、任意のコードの実行が可能になる。
この脆弱性は、5月下旬に脆弱性情報などの情報セキュリティ関連の話題を取り扱うメーリングリスト「bugtraq」にて公表されたものだが、実証コードは公開されていなかった。21日、イギリスのグループがリモートからの攻撃を可能とする実証コードを公開したため、同社や各国のインシデント対応機関などがアドバイザリをアップデートするなどして対応している。現在パッチは提供されていないため、Firefox(
http://www.mozilla.org/ )やOpera(
http://www.opera.com/ )など他のブラウザを利用するか、IEのActive Script機能をオフにすることで、脆弱性の一時的な回避が可能となる。
マイクロソフト、月例のセキュリティパッチは1件 - 危険度は緊急
http://pcweb.mycom.co.jp/news/2005/11/09/005.html
未修正のIEの脆弱性も解消へ - MS、10月の月例アップデートを公開
http://pcweb.mycom.co.jp/news/2005/10/13/011.html
パッチの提供を中止、危険な脆弱性は解消されず - 9月の月例アップデート
http://pcweb.mycom.co.jp/news/2005/09/14/009.html
Microsoft
http://www.microsoft.com/
(MYCOM PC WEB) - 11月22日22時16分更新
http://headlines.yahoo.co.jp/hl?a=20051124-00000095-myc-sci