悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2006年03月24日(金) 15時30分

IEの危険な脆弱性、マイクロソフトが今後のパッチで対応予定impress Watch

 マイクロソフトは24日、Internet Explorer(IE)に見つかった「createTextRange()」メソッドの処理に関する脆弱性について、セキュリティアドバイザリ(917077)として公表した。同社でも脆弱性を確認したとして、当面の回避策などを示すとともに、今後のセキュリティ修正プログラム(パッチ)で対応する予定であることも明らかにした。

 この脆弱性は、「createTextRange()」メソッドの呼び出しの処理エラーが原因。細工の施されたWebページが表示されると、攻撃者によって任意のコードを実行されるような方法でシステムメモリが破損する可能性があるとしている。リンクなどを通じて悪意のあるWebサイトにアクセスさせることで脆弱性を悪用でき、その結果、攻撃者によってローカールユーザーと同じ権限を取得される可能性があるという。

 影響を受けるIEのバージョンは、Windows 2000 SP4上のIE 5.01 SP4、Windows 2000 SP4上のIE 6 SP1、Windows XP SP1上のIE 6 SP1、Windows XP SP2用のIE 6、Windows Server 2003/Windows Server 2003 SP1用のIE 6、Windows Server 2003 for Itanium-based Systems(SP1適用済みを含む)用のIE 6、Windows Server 2003 x64 Edition/Windows XP Professional x64 Edition用のIE 6、Windows Me/98SE/98上のIE 6 SP1。なお、3月20日にリリースされたIE 7 Beta 2のプレビュー版は影響を受けない。

 セキュリティアドバイザリでは、脆弱性の根本的な修正ではないとした上で、回避策として、IEでアクティブスクリプトが実行される前にダイアログを表示するよう設定する、またはアクティブスクリプトを無効にするという方法を紹介している。また、信頼できないソースからのメール内のリンクを開く際には細心の注意を払うよう呼びかけている。

 マイクロソフトによれば、この脆弱性を攻撃するコードのサンプルがすでに見つかっているという。ただし、現時点ではこれを悪用した攻撃やユーザーからの被害報告は受けていないとしている。

 この脆弱性については、すでにデンマークのSecuniaや仏FrSIRTなどが存在を確認したとして、それぞれ最も高い危険度にレーティングして警告していた。

関連情報

■URL

  マイクロソフトのセキュリティアドバイザリ

  http://www.microsoft.com/japan/technet/security/advisory/917077.mspx

■関連記事

・ IEに未パッチの脆弱性、Microsoftでも確認済み(2006/03/23)

( 永沢 茂 )

2006/03/24 14:34
(impress Watch) - 3月24日15時30分更新

http://headlines.yahoo.co.jp/hl?a=20060324-00000008-imp-sci