マイクロソフトは11月4日,Windowsに新たなセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページにInternet Explorer(IE)でアクセスするだけで,悪質なプログラムを勝手に実行される恐れがある。実際,このセキュリティ・ホールを突く攻撃が確認されている。修正パッチは未公表。

 今回公表されたセキュリティ・ホールは,WindowsのMicrosoft XML Core Service(MSXML)4.0の一部であるXMLHTTP4.0 ActiveXコントロールに関するもの。Windows 2000/XP/Server 2003に存在する。セキュリティ・ホールの詳細については明らかにされていないが,このコントロールを呼び出すようなHTMLファイル(WebページやHTMLメール)にIEなどでアクセスするだけで,悪質なプログラムを実行される恐れがある。

 修正パッチは未公表。マイクロソフトによれば,今回のセキュリティ・ホールを悪用した限定的な攻撃が確認されているという。いわゆる,ゼロデイ攻撃である。ゼロデイ攻撃が確認されたことで,今回のセキュリティ・ホールが発覚した。

 このためマイクロソフトでは,セキュリティ・ホールの概要と回避策をまとめたセキュリティアドバイザリを公開。修正パッチが公開されるまでの回避策は,WindowsやIEの設定を変更すること。

 具体的には,XMLHTTP4.0 ActiveXコントロールがIEから呼び出されないようにkill bitを設定することが回避策となる。具体的な設定手順はセキュリティアドバイザリを参照してほしい。

 IEの設定においてアクティブスクリプトやActiveXコントロールを無効にすることも回避策となる。ただしこの場合には,XMLHTTP4.0 ActiveXコントロール以外のコントロールも利用できなくなるので注意。こちらについても,具体的な設定手順はセキュリティアドバイザリに記載されている。

 なおWindows Server 2003については,デフォルトでIEからActiveXコントロールが呼び出されないようになっているので,設定を変更していなければ今回のセキュリティ・ホールの影響を受けない。

マイクロソフトの情報