米Symantec傘下のSecurityFocusは現地時間10月30日,Internet Explorer 6(IE 6)の新しいセキュリティ・ホールを突くプログラム(Exploit)が確認されたことを明らかにした。このプログラムが仕込まれたWebページにアクセスするだけで,悪質なプログラムが勝手に仕込まれてパソコンを乗っ取られる恐れがあるという。セキュリティ・ホールの詳細は未公表。
今回確認されたプログラムは,修正パッチが未公表の新しいセキュリティ・ホールを突くという。いわゆる,ゼロデイ攻撃(0-day Attack)である。シマンテックのセキュリティ情報提供サービス「DeepSight Threat Management System」の情報によると,このプログラムが仕込まれたWebサイトにIEでアクセスすると,ルートキットが勝手にインストールされてパソコンが乗っ取られ,スパム(迷惑メール)の踏み台(中継点)にされるという。
セキュリティ・ホールを突くプログラムはエンコードされてWebページ(HTMLファイル)中に記述されている。IEがそのページを読み込むとJavaScriptによってプログラムがデコードされ,セキュリティ・ホールを突いて動き出すという。
今回のプログラムが突くセキュリティ・ホールはパッチ未公表の新しいものとされているが,詳細については未公表。「悪用されると任意のプログラムを実行される」ことだけが明らかとされている。
このため,現時点では「信頼できないWebサイトへはアクセスしない」ことが回避策となる。また,現在確認されている攻撃はJavaScriptを使用しているので,IEでJavaScriptを無効にする(セキュリティのレベルを「高」にする,アクティブスクリプトを無効にする)ことでも攻撃を回避できる。ただし,今後出現する攻撃に対しては,JavaScriptを無効にしても回避できない可能性があるので要注意。
