IPAとJPCERT コーディネーションセンターが共同で運営する脆弱性関連情報ポータルサイトJVN(Japan Vulnerability Notes)は2010年12月14日、Internet Explorer(IE)に任意のコードが実行される危険がある重大な脆弱性が見つかったことを公表した。細工されたHTML文書を閲覧するだけで、任意のコードを実行される危険がある。
危険度のレベルは、脆弱性の影響を受けるシステムや製品、その周囲への影響が大きく、できるだけ速やかにパッチや回避策を適用することを推奨する「緊急」であるとしている。
見つかった脆弱性は、IEに含まれるmshtml.dllライブラリによるCSS(Cascading Style Sheets)ファイルの処理に起因するもの。具体的には、様々な「@import」規則を含んでいるCSSファイルを参照しているWebページを処理するときに発生する。悪意のある第三者がこの脆弱性を突くことで、解放済みのメモリーを使用されてしまう (use-after-free)危険があるという。
対象となるIEのバージョンは6/7/8。Windows XP、Windows Vista、Windows 7のいずれのOSも影響を受ける。12月14日現在、米マイクロソフトからパッチなどは提供されていないため、ユーザー側で暫定的な回避策を講じるしかない。JVNでは、暫定策として以下の3つを紹介している。
- Windowsの設定でDEP(Data Execution Prevention)を有効にする
- IEの設定で「インターネット」ゾーンのセキュリティ設定を “高” にする
- IEの設定でアクティブスクリプトを無効にする
