米マイクロソフトは2007年10月10日(米国時間)、Internet Explorer 7(IE7)をインストールしたWindows XPおよびWindows Server 2003の環境には、危険な脆弱(ぜいじゃく)性が存在することを明らかにした。細工が施されたリンク(URL)をクリックしたり、悪質なWebページやファイルを開いたりするだけで被害に遭う恐れがある。修正パッチ(セキュリティ更新プログラム)は未公開。

 今回の脆弱性は、URLの処理に関するもの。細工が施されたURLを読み込むと、URLに含まれるコマンド(プログラム)などを実行してしまう。そういったURLが含まれるWebページやファイルを開くだけでも、悪質なコマンドを実行されて被害に遭う危険性がある。

 本来、IEおよびWindowsにはチェック機構があり、URLに含まれるコマンドを実行することはない。IE6を使っている場合や、IE7とWindows Vistaの組み合わせには今回の脆弱性は存在しない。しかし、IE7をWindows XPなどにインストールすると、Windows XPなどのコンポーネントに修整が加わり、チェック機構が適切に働かなくなる。これが、今回の脆弱性である。

 URLを読み込むアプリケーションの中には、Windowsに渡す前にチェックして、不正なURLはWindowsに渡さないものも存在する。そういったアプリケーションを通じては、今回の脆弱性を悪用することはできない。

 しかしながら、チェックをしない、あるいはチェックが不十分な場合には、そのアプリケーション経由で、悪質なURLがWindowsに渡される場合がある。セキュリティベンダーであるデンマークのセキュニアによれば、以下のアプリケーションが該当するという。

  • Firefox 2.0.0.5
  • Netscape Navigator 9.0b2
  • mIRC 6.3
  • Adobe Reader/Acrobat 8.1およびそれ以前
  • Outlook Express 6
  • Outlook 2000

 例えばAdobe Reader/Acrobatでは、細工が施されたURLを含むPDFファイルを開くだけで、中に仕込まれた悪質なコマンドを実行される恐れがある。この問題では、「不正なURLをWindowsに渡してしまうこと」が、Adobe Reader/Acrobatの脆弱性であるとして、米アドビシステムズが10月5日付けで情報を公開。同社では、10月末までに修正版を公開するとしている。だが前述のセキュニアでは、この問題はAdobe Reader/Acrobatの脆弱性ではなく、Windowsの脆弱性であるとしている。

 今回の脆弱性自体は、2007年7月に明らかになっていたものの、当初はそれほど話題にならなかった。しかしその後、悪用が容易であることや、さまざまなアプリケーション経由で悪用できることなどが明らかになってきた。そこで今回、マイクロソフトでは改めて情報を公開し、注意喚起したと考えられる。

 同社では、今回の脆弱性を解消する修正パッチを開発中。完成して検証が終了すれば公開する予定だ。ユーザーからの要望によっては、定例のパッチ公開日(米国時間毎月第2火曜日)以外にも公開する可能性があるとしている。

 マイクロソフトでは、現時点での回避策として「信頼できないリンクはクリックしない。信頼できないWebサイトにはアクセスしない」ことを勧めている。