IE に新たな脆弱性、コンピュータ乗っ取りの恐れ

この記事のURLhttp://japan.internet.com/webtech/20050702/12.html

Microsoft (NASDAQ:MSFT) のブラウザ『Internet Explorer』(IE) に新たな脆弱性が見つかった。

Microsoft は6月30日、セキュリティ情報サービス会社 SEC Consult が脆弱性を実証するコードを公開したことを受け、セキュリティ勧告を公開し、その脆弱性の存在を認めた。

問題の脆弱性は、IE の COM オブジェクト (javaprxy.dll) 処理部分にある。Microsoft のセキュリティ勧告によると、IE が不意に終了したり、さらには攻撃者が任意のコードを実行して、コンピュータシステムを乗っ取ってしまう恐れがある、という。

Microsoft はセキュリティ勧告の中で、この脆弱性が悪用される環境について調査中だと述べるとともに、これまでのところ被害の報告はないと記している。

この脆弱性を最初に発見したのは SEC Consult だ。同社によると、6月17日に問題の脆弱性を Microsoft に通知し、それに対する Microsoft の対応は適切だったという。

だが、SEC Consult は6月29日、Microsoft から同脆弱性は悪用不可能だとの連絡を受けたため、同日、独自のセキュリティ勧告を公開したという。このセキュリティ勧告には、脆弱性を実証する簡単なコードも入っている。

これに対して、Microsoft は、SEC Consult が実証コードを公開したことに不満を示し、セキュリティ勧告の中で次のように述べている。「この脆弱性問題は最初にわが社に報告されたが、(その後) 同脆弱性に関する詳細情報が公開されてしまった」

Microsoft の広報担当者に取材を申し込んだが、コメントは得られなかった。

問題の脆弱性が悪用される恐れのあるのは、COM オブジェクトに不正処理を引き起こす特殊なコードを組み込んだ攻撃者の HTML ページを開いた時だ。修正プログラムはまだできていない。

修正プログラムができるまでの対応策として、Microsoft は、インターネットおよびイントラネットについて、セキュリティレベルを「高」(3段階中の最高レベル) に設定するよう呼びかけている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。