フランスFrSIRTは現地時間9月13日,Internet Explorer(IE)に新たなセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで悪質なプログラムを実行される恐れがある。修正パッチは未公開。

 FrSIRTによれば,セキュリティ・ホールの原因はActiveXコントロール「DirectAnimation.PathControl(daxctle.ocx)」の不具合。細工が施されたデータが同コントロールのあるメソッドに渡されるとメモリー破壊が発生して,IEが不正終了したり,任意のプログラムを実行されたりする恐れがある。

 実際,セキュリティ・ホールを突くことが可能であることを示す検証コード(Exploit)がネット上で公開されている。現在公開されている検証コードは,セキュリティ・ホールを突くWebページ(HTMLファイル)を作成するためのプログラムである。

 FrSIRTでは,すべてのパッチを適用したWindows XP SP2上のIE 6も影響を受けることを確認しているという。また,XP SP2以外のWindows上のIEも同様に影響を受けるとしている。

 現時点では,米Microsoftから情報やパッチは公開されていない。回避策は,IEのセキュリティ設定を変更して,アクティブ スクリプトを無効にすること(マイクロソフトの情報)。「信頼できないWebページにはアクセスしない」「IE以外のWebブラウザを利用する」---ことも有効な回避策である。

フランスFrSIRTの情報