IE に新たな脆弱性、コンピュータ乗っ取りの恐れ

Microsoft (NASDAQ:MSFT) のブラウザ『Internet Explorer』(IE) に新たな脆弱性が見つかった。

Microsoft は6月30日、セキュリティ情報サービス会社 SEC Consult が脆弱性を実証するコードを公開したことを受け、セキュリティ勧告を公開し、その脆弱性の存在を認めた。

問題の脆弱性は、IE の COM オブジェクト (javaprxy.dll) 処理部分にある。Microsoft のセキュリティ勧告によると、IE が不意に終了したり、さらには攻撃者が任意のコードを実行して、コンピュータシステムを乗っ取ってしまう恐れがある、という。

Microsoft はセキュリティ勧告の中で、この脆弱性が悪用される環境について調査中だと述べるとともに、これまでのところ被害の報告はないと記している。

この脆弱性を最初に発見したのは SEC Consult だ。同社によると、6月17日に問題の脆弱性を Microsoft に通知し、それに対する Microsoft の対応は適切だったという。

だが、SEC Consult は6月29日、Microsoft から同脆弱性は悪用不可能だとの連絡を受けたため、同日、独自のセキュリティ勧告を公開したという。このセキュリティ勧告には、脆弱性を実証する簡単なコードも入っている。

これに対して、Microsoft は、SEC Consult が実証コードを公開したことに不満を示し、セキュリティ勧告の中で次のように述べている。「この脆弱性問題は最初にわが社に報告されたが、(その後) 同脆弱性に関する詳細情報が公開されてしまった」

Microsoft の広報担当者に取材を申し込んだが、コメントは得られなかった。

問題の脆弱性が悪用される恐れのあるのは、COM オブジェクトに不正処理を引き起こす特殊なコードを組み込んだ攻撃者の HTML ページを開いた時だ。修正プログラムはまだできていない。

修正プログラムができるまでの対応策として、Microsoft は、インターネットおよびイントラネットについて、セキュリティレベルを「高」(3段階中の最高レベル) に設定するよう呼びかけている。