米国時間11月25日以降,Internet Explorer(IE)の新しいセキュリティ・ホールがメーリング・リストなどで複数公開されている。11月12日に公開された最新の累積パッチ「MS03-048」を適用していても影響を受ける。悪用されると,細工が施されたWebページを閲覧するだけで,任意のプログラムを実行させられる恐れがある。対策は「アクティブスクリプト」を無効にすること。
今回公開されたセキュリティ・ホールは,IE 5.01/5.5/6 に存在する。最新のサービスパックやパッチを適用していても影響を受ける。今回公開されたセキュリティ・ホールを組み合わせて利用すれば,Webページを閲覧したユーザーに任意のプログラムを実行させることができる。パソコン中の情報を奪うことも可能である。実際に,“無害”のプログラムを実行させるデモ用のWebページが存在する。デモ・ページを閲覧すると,ウイルス対策ソフトのいくつかは,ページのコンテンツをウイルスとして検出する。
現時点では,米Microsoftはセキュリティ・ホールに関する情報やパッチを公開していない。デンマークのセキュリティ・ベンダー「Secunia」が公開する情報によれば,対策は「アクティブスクリプト」を無効にすること。IEの「インターネットオプション」から「セキュリティ」タブを選択して,「レベルのカスタマイズ」をクリックすれば,セキュリティ設定の画面が表示される。その画面から「アクティブスクリプト」を「無効にする」に設定できる(初期設定は「有効にする」)。同情報では,別のブラウザ製品を使うことも対策として挙げてる。
◎参考情報
◆Internet Explorer System Compromise Vulnerabilities(Secunia)
(勝村 幸博=IT Pro)
