|
|
| Webテクノロジー | 2006年9月16日 13:00 |
|
『IE』の未対応脆弱性を突く攻撃コード、またも出回る 著者: Ed Sutherland オリジナル版を読む ▼2006年9月16日 13:00 付の記事 ■海外internet.com発の記事 Microsoft (NASDAQ:MSFT) の Web ブラウザ『Internet Explorer』(IE) が、またしても攻撃の標的になっている。同社は14日、セキュリティ勧告「925444」を公開し、該当する脆弱性情報について調査中と述べた。勧告によると、問題の脆弱性を突くことにより、攻撃者にシステム乗っ取りを許す可能性があるという。また同社は、すでに概念実証コードが公になっていることも明らかにした。 攻撃コードが出回ったのは、Microsoft が今月12日に月例更新を行なってから、わずか数日後のことだった。このような月例更新直後の攻撃は、攻撃者の常套手段となりつつある。 同社セキュリティ対策組織 Microsoft Security Response Center (MSRC) の公式 Blog は15日、この脆弱性関する記事を掲載した。同記事によると、「攻撃者は、細工した Web サイトに IE でアクセスするようユーザーを誘導し、攻撃対象マシン上でコード実行に至る恐れがある」という。 Microsoft のセキュリティ勧告によれば、影響を受けるシステムは『Windows XP』および『Windows 2000』で IE を用いている環境だ。同社は当面の対処法として、該当システムの IE では、『ActiveX』コントロールおよびアクティブスクリプト機能を無効にするよう呼びかけている。 なお『Windows Server 2003』および『Windows Server 2003 Service Pack 1』の場合、既定の構成で運用し、強化セキュリティ構成を有効にしている限り、影響を受けないという。 問題の脆弱性は、ActiveX コントロール『DirectAnimation Path』に存在し、攻撃者は細工した Web サイトを用いて、この脆弱性を攻撃する。 ただし Microsoft は勧告の中で、次のように述べている。「現時点で、公になった脆弱性を悪用した攻撃活動や、顧客が影響を受けたとの報告は届いていない」 フランスのセキュリティ調査会社 French Security Incident Response Team (FrSIRT) は13日、今回の脆弱性に関するセキュリティ勧告を公開し、同脆弱性の危険度を4段階中最大とした。FrSIRT は、IE 5.01 および IE 6 のユーザーが影響を受けるとして、注意を促している。 Microsoft は、対応見通しについて明確な期日を示していない。すでに常套句となっている感があるが、同社は勧告の中で「調査が完了次第、顧客保護のため適切に対処する。セキュリティ更新は月例更新で提供するか、必要性によっては月例更新スケジュール外で提供する」と述べた。 |
| トップページ | 画面トップ |
|
||
|
||
|
