2005年07月02日(土) 11時13分
IE に新たな脆弱性、コンピュータ乗っ取りの恐れ(japan.internet.com)
Microsoft (
NASDAQ:MSFT ) のブラウザ『Internet Explorer』(IE) に新たな脆弱性が見つかった。
Microsoft は6月30日、セキュリティ情報サービス会社
SECConsult が脆弱性を実証するコードを公開したことを受け、
セキュリティ勧告 を公開し、その脆弱性の存在を認めた。
問題の脆弱性は、IE の COM オブジェクト (javaprxy.dll) 処理部分にある。Microsoft のセキュリティ勧告によると、IE が不意に終了したり、さらには攻撃者が任意のコードを実行して、コンピュータシステムを乗っ取ってしまう恐れがある、という。
Microsoft はセキュリティ勧告の中で、この脆弱性が悪用される環境について調査中だと述べるとともに、これまでのところ被害の報告はないと記している。
この脆弱性を最初に発見したのは SEC Consult だ。同社によると、6月17日に問題の脆弱性を Microsoft に通知し、それに対する Microsoft の対応は適切だったという。
だが、SEC Consult は6月29日、Microsoft から同脆弱性は悪用不可能だとの連絡を受けたため、同日、独自の
セキュリティ勧告 を公開したという。このセキュリティ勧告には、脆弱性を実証する簡単なコードも入っている。
これに対して、Microsoft は、SEC Consult が実証コードを公開したことに不満を示し、セキュリティ勧告の中で次のように述べている。「この脆弱性問題は最初にわが社に報告されたが、(その後) 同脆弱性に関する詳細情報が公開されてしまった」
Microsoft の広報担当者に取材を申し込んだが、コメントは得られなかった。
問題の脆弱性が悪用される恐れのあるのは、COM オブジェクトに不正処理を引き起こす特殊なコードを組み込んだ攻撃者の HTML ページを開いた時だ。修正プログラムはまだできていない。
修正プログラムができるまでの対応策として、Microsoft は、インターネットおよびイントラネットについて、セキュリティレベルを「高」(3段階中の最高レベル) に設定するよう呼びかけている。
デイリーリサーチバックナンバー、コラム、セミナー情報等はこちらから
http://japan.internet.com/
デイリーでお届けする最新ITニュースメールの御購読申込はこちらから
http://japan.internet.com/mail/newsletters.html (japan.internet.com) - 7月2日11時13分更新
http://headlines.yahoo.co.jp/hl?a=20050702-00000001-inet-sci