『IE』に新たなゼロデイ攻撃、対応急ぐ Microsoft

この記事のURLhttp://japan.internet.com/webtech/20060920/12.html

セキュリティ専門家たちによれば、Microsoft (NASDAQ:MSFT) の Web ブラウザ『Internet Explorer』(IE) を標的にした、新たなゼロデイ攻撃が発生しているという。

具体的には、『Vector Markup Language』(VML) の実装コンポーネントに脆弱性が存在し、バッファオーバーフローが発生するおそれがあるというものだ。VML はベクター画像を表現する XML ベースの言語仕様で、HTML ページ内にベクター画像を表示する際に用いる。

Verisign の iDefense Labs 部門によると、ユーザーのパソコンで任意のコードを実行したり、トロイの木馬を送り込むための攻撃経路として、攻撃者たちが同脆弱性を使っているという。

iDefense の Rapid Response Team 担当ディレクタ Ken Dunham 氏は、全てのパッチを適用した IE にも同脆弱性が存在し、これを突く攻撃活動がすでに起きていると述べた。

Dunham 氏はこの攻撃について、再現が容易で、近いうちに大規模な攻撃に拡大するおそれがあると指摘する。

Dunham 氏は、Microsoft が対応するまでの回避策として、『JavaScript』を無効にするよう IE ユーザーに勧めている。

Microsoft は19日、VML コンポーネントの脆弱性に関するセキュリティ勧告「925568」を公開した。同社は勧告の中で、VML コンポーネントの脆弱性を突く攻撃が活発化していることを認めた。

同勧告によると、対応パッチの準備はすでに最終段階にあり、10月の月例更新日 (10月10日) を目処にリリースするという。