デンマークのSecuniaは,Internet Explorer(IE)に新たなセキュリティ・ホールが見つかったことを現地時間11月21日に明らかにした。悪用されるとシステムを乗っ取られ,任意のコードを実行される恐れがあるという。同社はこのセキュリティ・ホールの深刻度を「Extremely critical(極めて深刻)」としている。
今回発表されたセキュリティ・ホールの影響を受けるのは,Windows XP Service Pack 2(SP2)上で動作するIE 5.5とIE 6.x,ならびにWindows 2000 SP4で動作するIE 6.x。英Computer Terrorismのセキュリティ研究者が同日,同セキュリティ・ホールのコンセプト実証コードを公開している。
この問題は,ページを読み込んだ時に「window()」という関数を実行させた場合,あるオブジェクトが正確に初期化されないために発生するもの。悪意のあるWebサイトにアクセスしただけで,何の操作をしなくても自動的にコードが実行される恐れがあるという。
Microsoft社は,現時点でこのセキュリティ・ホールに対応するパッチをリリースしていない。Secunia社は,回避策として信頼できるサイト以外においてActive Scriptを無効にすることを勧めている。
セキュリティ調査会社各社によれば,このセキュリティ・ホールは6カ月前から存在が知られていたが,任意コードを実行するリモート攻撃よりもセキュリティ・リスクの低いDoS(サービス拒否)攻撃に使われるものとみなされていた。
◎関連記事
■IEにパッチ未公開のセキュリティ・ホール,Officeユーザーなどが影響を受ける
■米Microsoft,IE7向けセキュリティ強化の一部を公表
■WindowsやIEのセキュリティ・ホールが9件,深刻度が最悪の「緊急」を含む
■IEやOperaにステータス・バーを偽装できる問題
[発表資料へ]
