Microsoft、VBScript のゼロデイ脆弱性で勧告

Microsoft は1日、新たなセキュリティ勧告を公開した。『Windows』旧版のヘルプファイル処理に、システム乗っ取りを許しかねないゼロデイ脆弱性が見つかったと警告している。

この脆弱性の影響を受けるのは、『Windows 2000 Service Pack 4 (SP4)』『Windows XP Service Pack 2 (SP2)』『同 Service Pack 3 (SP3)』、ならびに64ビット版の『Windows XP Professional SP2』『Windows Server 2003』だ。『Windows Vista』『Windows Server 2008』『Windows 7』などの新版は影響を受けないと、同社は取材に対し Eメールで声明を寄せている。

Microsoft の勧告によると、同脆弱性は『Internet Explorer』を使用する際の VBScript のヘルプファイル処理方法に存在するという。

「悪意ある Web サイトが特別に細工されたダイアログボックスを表示し、ユーザーが F1 キーを押すと、現在ログオンしているユーザーのセキュリティ コンテキストで任意でコードが実行される可能性がある」と勧告では述べている。OS を含む Windows プログラムでは通常、F1 キーをヘルプファイルを表示するキーに指定している。

すでに Web 上には概念実証コードが出回っているが、これまでのところ実際の攻撃は確認していないと Microsoft は述べた。

同社セキュリティ部門は、この脆弱性にどのように対処するのかまだ決定していない。修正パッチを公開するのか、もしそうなら、いわゆる「定例外の」パッチとして緊急に公開するのか、あるいは通常の月例セキュリティ更新の一部としてリリースするのかは、今のところ不明だ。月例セキュリティ更新は毎月第2火曜日に公開となっており、次回は来週の予定だ。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール