セキュリティ・ベンダーの米eEye Digital Securityは米国時間5月5日,Internet Explorer(IE)やOutlookなどが影響を受けるセキュリティ・ホールを発見したことを明らかにした。詳細については公表していないが,WebページやHTMLメールを開くだけで任意のプログラムを実行させられるようなセキュリティ・ホールだと考えられる。同社では「Severity(深刻度)」を「High(高)」に設定している。

 同社では,IEやOutlookなどが影響を受ける,深刻度「高」のセキュリティ・ホールを3月にも2種類発見している(関連記事)。これらの深刻度も「高」。今回のセキュリティ・ホールと同じように詳細は公表されていない。米Microsoftからセキュリティ情報やパッチが公開されていないためだ。公開され次第,eEyeから詳細な情報が公開されると考えられる。

 ただし,5月の月例セキュリティ情報として,Microsoftからこれらのセキュリティ情報やパッチが公開される可能性は低い。米国時間5月10日に公開される予定なのは,Windowsに関する「重要」のセキュリティ情報が1件だからだ(関連記事)。ベンダーによって深刻度の設定基準は異なるので断言はできないが,eEyeが発見したセキュリティ・ホールの深刻度は,Microsoftの基準では「緊急(Critical)」に設定される可能性が高い。

 セキュリティ情報やパッチが公表される前に,eEye以外の組織やユーザーからセキュリティ・ホールを突くようなページ(コード)が公開する可能性はある(関連記事)。「セキュリティ・ソフトを利用する」「信頼できないWebページ/HTMLメールを開かない」「信頼できないリンクやボタンなどをクリックしない」――といったセキュリティのセオリーを守ることで回避したい。

 なお,eEyeでは「Real Player(RealOne Player)」に関するセキュリティ・ホールも米国時間5月4日で発見したとしている。こちらも深刻度は「高」。細工が施されたファイルを読み込むと,中に仕込まれた任意のプログラムを実行させられる可能性があるという。同製品のユーザーはこちらについても注意したい。

◎参考資料
EEYEB-20050505
EEYEB-20050504

(勝村 幸博=IT Pro)