米eEye Digital Securityと米Determinaは米国時間3月27日,Internet Explorer(IE)のセキュリティ・ホールをふさぐ“暫定”パッチをそれぞれ公開した。ただし,セキュリティ組織である米SANS Instituteでは,「アクティブスクリプトを無効にする」といった回避策が存在するなどの利用から,現時点ではこれらのパッチの適用を推奨していない。
暫定パッチが修正するのは,IEの「createTextRange()」メソッドの取り扱いに関するセキュリティ・ホール(関連記事)。3月22日にデンマークSecuniaなどによって明らかにされ,現在では,このセキュリティ・ホールを悪用するWebサイトがネット上に多数出現している(関連記事)。
米Microsoftからは回避策などを記述した「Security Advisory」が公開されているものの,修正パッチ(更新プログラム)はリリースされていない(関連記事)。同社では,4月の“月例パッチ公開日”である4月11日(日本時間4月12日)までには公開するとしている(関連記事)。
このため,eEye Digital SecurityとDeterminaはそれぞれ,Microsoftからパッチが公開されるまでの“つなぎ”として暫定パッチを公開した。eEye Digital Securityではパッチのソースコードも公表している。
ただし,SANS Instituteではパッチの適用を推奨していない。理由として,(1)現時点では,「IEのアクティブスクリプトを無効にする」あるいは「IE以外のブラウザを使う」といった回避策を施せば十分,(2)SANSでは,これらのパッチを十分に検証していない,(3)現在確認されているexploit(セキュリティ・ホールを突くコード)は限定的だが,今後,状況が変化する可能性がある---を挙げている。
(1)の回避策を実施できない場合(例えば,アクティブスクリプトを有効にしたIEでしか利用できないサイトへアクセスする必要がある場合)には,まずは検証した上で,パッチの利用を検討するよう勧めている。同時に,Microsoftに連絡してみることも勧めている。
◎参考資料
◆Temporary Patches for createTextRange Vulnerability(米SANS Institute)
◆Exploits Circulating for Internet Explorer Unpatched Vulnerability(米eEye Digital Security)
◆Internet Explorer未パッチ脆弱性を利用した複数のExploitが流通(住商情報システム)
◆Determina Fix for CVE-2006-1359 (Zero Day MS Internet Explorer Remote "CreateTextRange()" Code Execution) (米Determina)
