マイクロソフトは11月22日,Internet Explorer(IE)に見つかったとされるセキュリティ・ホールに関するセキュリティアドバイザリを公開した。このセキュリティ・ホールに関する情報や検証コードは第三者によりネットで公開されている(関連記事)。同社では,セキュリティ・ホールおよび検証コードについて調査している段階。今後,必要に応じてセキュリティ情報や修正パッチを公開する予定である。
マイクロソフトの情報によると,影響を受ける可能性があるとしているのはWindows 98/98SE/Me/2000 SP4/XP SP2上のIE。Windows Server 2003 および Windows Server 2003 SP1については,デフォルト設定(あるいはそれよりもセキュアな設定)で利用していれば影響を受けない。
セキュリティアドバイザリの対象となっているセキュリティ・ホールは,onLoadイベントの処理に関するもの。細工が施されたWebページをIEで読み込むと,攻撃者が指定した任意のプログラムを実行させられる可能性があるとしている。
同社では,「リモートでコードが実行される可能性があることを示す情報が公開されていること」「検証コードが公開されていること」については確認しているが,これらの真偽も含めて,現在調査している段階である。「今回のアドバイザリは,調査を開始したことを知らせる意味合いが強い」(マイクロソフト)。現時点では,このセキュリティ・ホールの影響を受けたユーザーの存在を確認していないという。
セキュリティアドバイザリでは「推奨するアクション」として,インターネットおよびイントラネット ゾーンにおいて「アクティブ スクリプトが実行される前にダイアログを表示する」あるいは「アクティブ スクリプトを無効にする」ことなどを挙げている(具体的な手順はアドバイザリを参照のこと)。「セキュリティのレベル」を「高」に設定することでも,アクティブ スクリプトを無効にできる。
◎参考資料
◆マイクロソフト セキュリティ アドバイザリ (911302) Internet Explorer の onLoad イベントを処理する方法の脆弱性のため,リモートでコードが実行される
