デンマークSecuniaは現地時間1月7日,Internet Explorer(IE)に見つかった危険なセキュリティ・ホールを再警告した関連記事)。同社ではセキュリティ・ホールの危険度(深刻度)を最も危険な「Extremely Critical」に変更するとともに,セキュリティ・ホールを突けることを示すデモ・ページを公開した。Windows XP SP2も影響を受けるセキュリティ・ホールで,なおかつセキュリティ・ホールを悪用するウイルス(Webページ)も出回っているものの,パッチは未公開である(関連記事)。十分注意したい。

 Secuniaは2004年10月,IEに2種類のセキュリティ・ホールが見つかったとして,アドバイザリ「Microsoft Internet Explorer Multiple Vulnerabilities」を公開した(関連記事)。このときの危険度は,5段階中,上から2番目の「Highly Critical」に設定されていた。

 そして2004年12月25日,3種類目の新たなセキュリティ・ホールが報告されたとして,上記のアドバイザリにその情報を追加した。この3種類目は特に危険であり,細工が施されたWebページを閲覧しただけで,任意のコマンドを実行させられたり,任意のプログラムをインストールされたりする。Windows XP SP2のIEも影響を受ける。

 危険性を重くみたSecuniaでは,これらのセキュリティ・ホールの危険度を5段階中最悪の「Extremely Critical」に変更した。加えて,Windows XP SP2のIE用のデモ・ページを公開した。セキュリティ設定を厳しくしていないWindows XP SP2のIEでデモ・ページにアクセスすると,パソコン上の「cmd.exe(コマンド・プロンプト)」を勝手に起動される。

 米Microsoftは,セキュリティ情報やパッチを公開していない。Secuniaでは対策(Solution)として「別製品を使う(Use another product)」ことを挙げている。そのほかの回避策(Alternative workarounds)としては,「『ファイルのドラッグ/ドロップ,またはコピー/貼り付け』を無効にする(マイクロソフトの情報)」および「インターネット・ゾーンのセキュリティ設定を『高』にする」ことを挙げている。

◎参考資料
Microsoft Internet Explorer Multiple Vulnerabilities(最終更新1月7日)
Internet Explorer Command Execution Vulnerability Test
Internet Explorer のセキュリティ上の問題 "クリックとスクロール" からコンピュータを保護する方法

(勝村 幸博=IT Pro)