Microsoft、急きょ『IE 7』に関連するセキュリティ勧告公開

この記事のURLhttp://japan.internet.com/webtech/20071012/12.html

Microsoft は10日、Web ブラウザ『Internet Explorer 7』(IE 7) に関連するセキュリティ勧告を発表した。IE 7 をインストールした『Windows XP』および『Windows Server 2003』において、遠隔コード実行を許しかねない脆弱性が存在するという。ただし『Windows Vista』や、IE 7 をインストールしていない Windows の全サポートバージョンには影響しない。

セキュリティ勧告では、特別に細工した URL または URI を Windows が受け取った際、その処理に問題があり、脆弱性が発現するとの説明がある。

IE 7 をインストールすると、Windows のコンポーネントを更新し、IE と Windows シェル間で URL および URI を処理する際の手続きが変わる。そして、無効な URL または URI を Windows に渡すアプリケーションにより、該当の脆弱性が悪用される可能性があるという。

攻撃者がこの脆弱性を悪用するには、特別な細工を施した URL または URI をアプリケーションに埋め込み、ユーザーに実行させる必要がある。たとえば、攻撃者がユーザーに Eメール内のリンクをたどらせ、そのユーザーのコンテキストで任意コードを実行させる形で攻撃が成立し得る。

Microsoft のセキュリティ対策組織 Microsoft Security Response Center (MSRC) は今回の脆弱性について、さらに詳細な説明を記述した記事を公式 Blog で公開している。

Microsoft は現時点における対策について、ファイヤーウォールの有効化、ソフトウェアの更新プログラムの入手、ウイルス対策ソフトウェアのインストールなど、同社の個人ユーザー向けセキュリティサイト『Protect Your PC』で示すガイダンスに従うよう推奨している。なお、最新のソフトウェア更新は、9日に10月の月例更新を実施済みで、今回の脆弱性対応が月例外になる可能性もある。