セキュリティ・ツール「Metasploit Framework」の開発者であるHD Moore氏は7月2日,同氏が発見したWebブラウザのセキュリティ・ホールを,7月中,毎日1件ずつ公開していくことを宣言した。宣言どおり,現在までにInternet Explorer(IE)関連の新しいセキュリティ・ホールを3件,実証コード(セキュリティ・ホールを突くことが可能であることを示すプログラム)とともに公開している。

 現在までに公開されているセキュリティ・ホールは,すべてIEに関するもの。いずれも修正パッチ(セキュリティ更新プログラム)は未公開。過去のパッチをすべて適用したWindows XP SP2上のIE 6で確認されている。また,いずれも3月6日に米Microsoftに報告済みとされている。

 3件とも,セキュリティ・ホールに関する情報とともに,実証コードが公開されている。いずれの実証コードもIEを不正終了させるものだが,1件のセキュリティ・ホールについては,悪質なプログラムを実行させられる可能性がある危険なセキュリティ・ホールである。

 実際,セキュリティ・ベンダーのフランスFrSIRTでは,この1件については危険度を最悪の「Critical(緊急)」に設定している。もう1件については,IEを不正終了させられる恐れしかないため,危険度は「Low Risk(低)」としている。また,もう1件については検証中のためか,現時点(7月4日10時)ではFrSIRTからは情報は公表されていない。

 現在までに公開されているセキュリティ・ホールはすべてIE関連だが,今後は,IE以外のブラウザ(例えばFirefox)のセキュリティ・ホールも公開されると予想される。

 宣言どおり,7月中は新しいセキュリティ・ホールが検証コードとともに毎日公開されると考えられる。ユーザーとしては,ブラウザのセキュリティ設定をできるだけ高めて,信頼できないサイトへは極力アクセスしないように注意したい。

◎参考資料
Month of Browser Bugs
Browser Bug of the Month Club
Latest FrSIRT Security Advisories