米SANS Instituteなどは現地時間11月21日,Internet Explorer(IE)に危険なセキュリティ・ホールが見つかったことを公表した。細工が施されたWebページにアクセスするだけで悪質なプログラムを実行させられる恐れがある。セキュリティ・ホールを突くことが可能であることを示す実証コード(HTMLファイル)が既に公開されている。パッチは未公開。対策は,アクティブ スクリプトを無効にすることなど。

 今回のセキュリティ・ホールは,Webページ(HTMLファイル)中でJavaScriptのwindows()関数が<body onload>イベントと組み合わせて用いられた場合,IEが特定のオブジェクトを適切に初期化できないことが原因。windows()と<body onload>を含む,細工が施されたHTMLファイルをIEで読む込むとメモリー上でエラーが発生する。その結果,IEが不正終了したり,攻撃者が指定した任意のプログラムを実行させられたりする可能性がある。

 現時点までに公開されているすべてのパッチを適用したWindows XP SP2およびWindows 2000 SP4のIE 6において,今回のセキュリティ・ホールが確認されている。

 このセキュリティ・ホール自体は,2005年5月に報告されていた。ただしその時点では,IEを不正終了させる危険性しかないと考えられていた。それが今回,このセキュリティ・ホールを突けば,任意のプログラムを実行させることが可能であることを示すコード(HTMLファイル)がネット上で公表された。

 公開されているコードは,電卓プログラム(calc.exe)を実行させるだけの“無害”なものだが,攻撃目的に改変することはとても容易である。このコードを改変した悪質なコードが既に出回っている可能性は高い。IEユーザーは注意が必要である。

 米Microsoftからはセキュリティ情報や修正パッチは公開されていない。このため現時点での回避策は,アクティブ スクリプトを無効にして,Webページ中のJavaScriptを実行しないようにすること。具体的には,「インターネット」ゾーンのセキュリティ・レベルを「高」にする,あるいは「レベルのカスタマイズ」から「アクティブ スクリプト」の項目を「無効にする」に設定する。

 他のブラウザ(FirefoxやOperaなど)を使うことも,回避策の一つとして挙げられている。もちろん,信頼できないWebサイトへアクセスしないことも重要である。

 なお,今回のセキュリティ・ホールを突く実証コードの出現を受けて,SANS Instituteでは,インターネットの“危険度”を色で表した指標「INFOCon」を,平常時の「Green」から「Yellow」に引き上げている(関連記事)。

【11月23日追記】SANS Instituteは米国時間11月22日,INFOConを平常時の「Green」に戻した【以上,11月23日追記】

◎参考資料
Internet Explorer 0-day exploit
Microsoft Internet Explorer "window()" Arbitrary Code Execution Vulnerability