『IE』に存在する未対応の脆弱性を狙い、早くも攻撃が始まる

この記事のURLhttp://japan.internet.com/webtech/20060327/12.html

Microsoft の Web ブラウザ『Internet Explorer』(IE) が持つ、いわゆる「createTextRange()」の脆弱性を狙い、より危険な新しい悪用コードが続々と出回り始めている。Microsoft は23日に問題の脆弱性に関する対処法を示したが、セキュリティ専門家たちによると、24日に見つけた悪用コードは、さらに高度化していたという。

Secure Elements のセキュリティ担当ディレクタ Scott Carpenter 氏は取材に対し、「ほぼ間違いなく、誰かが他人のパソコンを乗っ取ってスパム発信に利用しようとしている」と述べた。

Microsoft は23日、createTextRange の脆弱性についてセキュリティ勧告を公開し、『IE 7 Beta 2 Preview』の3月公開版にアップグレードすることで問題を回避できると説明した。

Carpenter 氏は、23日の概念実証コードが、IE の最新ベータ版にも影響を及ぼし得る一層手の込んだ悪用コードに進化している、と述べた。

同氏によると、「この新しいコードを元に、大急ぎでワームに仕立てている人物が存在するだろう」という。事態は悪化するばかりだ。

Microsoft にコメントを求めたが回答は無かった。

Microsoft は23日に公開したセキュリティ勧告の中で、同脆弱性の存在を確認したと述べた。一方問題を緩和する要素としては、細工した Web サイトにアクセスしたり、そうしたサイトに誘導する Eメール内のリンクをクリックするといった行動をユーザーがとらなければ、同脆弱性を突く攻撃は成立しないという。

当初 Microsoft は同セキュリティ勧告の中で、「現時点で、問題の脆弱性を突く攻撃事例や、顧客に影響が及んだとの話は確認していない」と記していたが、同社は24日、勧告内容を更新し、該当部分を次のように書き換えた。「問題の脆弱性を突く限定的な攻撃を確認した。さらに当社は、同脆弱性を突く攻撃について積極的に監視を行なっており、問題の悪質 Web サイトを閉鎖に追い込むべく、業界パートナーおよび法執行機関と協力している」

Microsoft は、修正プログラムを公開するまでの回避策として、IE 7 最新ベータ版にアップデートするか、『Active Scripting』を無効に設定する (『JavaScript』と『ActiveX』コントロールの動作を止める) ことを推奨している。