IE の脆弱性、いまだ存在との指摘

Microsoft は先週、人気ブラウザ『Internet Explorer』(IE) のセキュリティホールをふさぐ更新プログラムを公開したが、それからわずか数時間のうちに、オランダのあるセキュリティ研究者がパッチを当ててもなお別の脆弱性が残ることを指摘し、Web に実証コードを公開した。

問題の脆弱性は、パッチを当てた「ADODB.Stream」オブジェクトの脆弱性と同様、『ActiveX』のスクリプトコンポーネントのライブラリ内に存在する。今回指摘された脆弱性は「Shell.Application」コンポーネントに存在し、基本的には先の脆弱性を利用したのと同じ攻撃を可能にする。つまり、すべてのパッチを当てた IE でアクセスしても、依然として Web サイトから悪質ファイルをダウンロードしてしまう可能性がある。ADODB.Stream の脆弱性に関しては、あくまでも ADODB.Stream オブジェクトを無効化するプログラムを配布しただけで、本質的に対処する修正プログラムを公開したわけではない。

Microsoft では、IE の脆弱性をついた『Download.Ject』攻撃の問題に関して、同社サイトに情報ページを設置するとともに、『Windows Update』を通じて顧客に上記の更新プログラムを配布した。だが、米国セキュリティ対策機関 US-CERT はそれでもなお、IE ブラウザは危険だとして使用を避けるようユーザーに警告を発している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール