米SANS Instituteなどは米国時間3月24日,Internet Explorer(IE)に見つかったパッチ未公開のセキュリティ・ホールを突くプログラム(exploit,PoC)が確認されたとして注意を呼びかけた(関連記事)。同日,マイクロソフトはセキュリティ・ホールの回避策などを記述したセキュリティアドバイザリを公開。IEの設定を変更してアクティブスクリプトを無効にすれば,影響を回避できるという。
今回のセキュリティ・ホールは,IEのメソッド呼び出しに関するもの。マイクロソフトの情報によれば,特定の“予想外のメソッド呼び出し”が含まれるWebページを表示させようとすると,システム・メモリーが破損する可能性があるという。その結果,攻撃者が意図したプログラムを実行させられる恐れがある。
今回のセキュリティ・ホールは,デンマークSecuniaなどによって発見され,マイクロソフトでは修正パッチの作成作業などを進めているという。当初はセキュリティ・ホールを突くプログラム(コード)は公表されていなかったものの,予想通り,今回公表された。
公表されているのは,電卓プログラム(calc.exe)を起動させるだけの“無害”なコードだが,ウイルスなどを勝手に実行させるように改変することも可能である。今後,今回のコードを悪用したWebページが出現する可能性は高い。信頼できないサイト(Webページ)にはアクセスしないようにして,十分注意したい。
マイクロソフトでは,今回のセキュリティ・ホールの概要や回避策などをまとめたセキュリティアドバイザリを公開した。同アドバイザリでは,インターネットおよびイントラネット ゾーンにおいて,「アクティブ スクリプトが実行される前にダイアログを表示する」あるいは「アクティブ スクリプトを無効にする」こと,または「セキュリティ設定を『高』にする」ことを回避策として挙げている。設定変更の具体的な手順は,同アドバイザリを参照してほしい。
◎参考資料
◆IE exploit on the loose, going to yellow(米SANS Institute)
◆マイクロソフト セキュリティ アドバイザリ (917077) HTML のオブジェクトが予期しないメソッド呼び出しを処理する方法の脆弱性により,リモートでコードが実行される
