Microsoft (NASDAQ:MSFT) の Web ブラウザ『Internet Explorer』(IE) が、またしても攻撃の標的になっている。同社は14日、セキュリティ勧告「925444」を公開し、該当する脆弱性情報について調査中と述べた。勧告によると、問題の脆弱性を突くことにより、攻撃者にシステム乗っ取りを許す可能性があるという。また同社は、すでに概念実証コードが公になっていることも明らかにした。
同社セキュリティ対策組織 Microsoft Security Response Center (MSRC) の公式 Blog は15日、この脆弱性関する記事を掲載した。同記事によると、「攻撃者は、細工した Web サイトに IE でアクセスするようユーザーを誘導し、攻撃対象マシン上でコード実行に至る恐れがある」という。
Microsoft のセキュリティ勧告によれば、影響を受けるシステムは『Windows XP』および『Windows 2000』で IE を用いている環境だ。同社は当面の対処法として、該当システムの IE では、『ActiveX』コントロールおよびアクティブスクリプト機能を無効にするよう呼びかけている。
なお『Windows Server 2003』および『Windows Server 2003 Service Pack 1』の場合、既定の構成で運用し、強化セキュリティ構成を有効にしている限り、影響を受けないという。
問題の脆弱性は、ActiveX コントロール『DirectAnimation Path』に存在し、攻撃者は細工した Web サイトを用いて、この脆弱性を攻撃する。
ただし Microsoft は勧告の中で、次のように述べている。「現時点で、公になった脆弱性を悪用した攻撃活動や、顧客が影響を受けたとの報告は届いていない」
