マイクロソフトは11月4日，Windowsに新たなセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページにInternet Explorer（IE）でアクセスするだけで，悪質なプログラムを勝手に実行される恐れがある。実際，このセキュリティ・ホールを突く攻撃が確認されている。修正パッチは未公表。

　今回公表されたセキュリティ・ホールは，WindowsのMicrosoft XML Core Service（MSXML）4.0の一部であるXMLHTTP4.0 ActiveXコントロールに関するもの。Windows 2000／XP／Server 2003に存在する。セキュリティ・ホールの詳細については明らかにされていないが，このコントロールを呼び出すようなHTMLファイル（WebページやHTMLメール）にIEなどでアクセスするだけで，悪質なプログラムを実行される恐れがある。

　修正パッチは未公表。マイクロソフトによれば，今回のセキュリティ・ホールを悪用した限定的な攻撃が確認されているという。いわゆる，ゼロデイ攻撃である。ゼロデイ攻撃が確認されたことで，今回のセキュリティ・ホールが発覚した。

　このためマイクロソフトでは，セキュリティ・ホールの概要と回避策をまとめたセキュリティアドバイザリを公開。修正パッチが公開されるまでの回避策は，WindowsやIEの設定を変更すること。

　具体的には，XMLHTTP4.0 ActiveXコントロールがIEから呼び出されないようにkill bitを設定することが回避策となる。具体的な設定手順はセキュリティアドバイザリを参照してほしい。

　IEの設定においてアクティブスクリプトやActiveXコントロールを無効にすることも回避策となる。ただしこの場合には，XMLHTTP4.0 ActiveXコントロール以外のコントロールも利用できなくなるので注意。こちらについても，具体的な設定手順はセキュリティアドバイザリに記載されている。

　なおWindows Server 2003については，デフォルトでIEからActiveXコントロールが呼び出されないようになっているので，設定を変更していなければ今回のセキュリティ・ホールの影響を受けない。

・マイクロソフトの情報