Microsoft、月例更新後に『IE』の未対応脆弱性の勧告公開

Microsoft は、9日に月例更新を実施し、Web ブラウザ『Internet Explorer』(IE) について4種の脆弱性に対応したばかりだが、翌日にはその IE に、遠隔コード実行の恐れがある未対応の脆弱性が存在すると認めた。

Microsoft は10日遅く、セキュリティ勧告を公開した。同社は新たな IE の脆弱性を悪用する攻撃について、公になった報告を調査中だと述べたが、同勧告の中では、これまでのところ「限定的な攻撃」しか確認していないと記している。

同社は、攻撃の内容や脆弱性の具体的な性質については明らかにしなかった。

そんななか、セキュリティ会社 eEye Digital Security は、XML に関係する未対応の脆弱性として、同脆弱性をゼロデイ情報ページに掲載している。同様に Symantec の研究者 Elia Florio 氏も、『IE 7』の XML 構文解析エンジンに影響を及ぼす問題を突き止めた。

Florio 氏は、Symantec のセキュリティ情報 Blog に書き込んだ記事で、次のように記している。「この脆弱性は、HTML ページ上の特定の要素がどのようにして閉じるのかという点に依存するため、XML だけでなく、ブラウザが処理する別のオブジェクトにも影響が出る可能性がある」

なお Microsoft はセキュリティ勧告の中で、『Windows Visa』の『IE 7』を保護モードで実行していれば、危険性は低いと述べている。保護モードではユーザー権限の制御により、OS の他の部分とブラウザ機能を切り離す。

さらに同勧告では回避策として、インターネットおよびローカル イントラネットのセキュリティ ゾーンを「高」にし、あらゆる『ActiveX』コントロールの実行前に、必ず確認ダイアログを表示するよう設定する方法などを勧めている。

Microsoft は、この問題に対して月例更新スケジュール外で修正パッチを公開するか否か、現時点では明確にしておらず、コメントの要請にも応じなかった。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール