セキュリティ組織の米SANS Instituteは米国時間7月22日,同組織が配信しているニュースレター「@RISK: The Consensus Security Vulnerability Alert」において,Internet Explorer(IE)に見つかったパッチ未公開のセキュリティ・ホールについて注意を呼びかけた。細工が施されたJPEGファイルを開くと,IEを強制終了させられる可能性などがある。セキュリティ・ホールの危険度は「MODERATE(中)」に設定されている。
セキュリティ・ホール自体は,7月16日前後にセキュリティ関連のメーリング・リストなどで公表されている。セキュリティ・ホールの種類は全部で4種類。いずれも,JPEG画像ファイルの処理に関するもの。細工が施されたJPEGファイルを読み込もうとすると,メモリー・エラーなどが発生してIEが強制終了してしまう。実際,強制終了させるようなファイルが公開されている。
セキュリティ・ホールの発見者によれば,4種類のうち1つのセキュリティ・ホールについては,悪用すれば任意のプログラムを実行させることも可能だという。ただし,プログラムを実行させるようなファイルは公開されておらず,また,実際に可能かどうかも確認されていない。
米Microsoftからは,これらに関するセキュリティ情報(Security Bulletin)や修正パッチ,セキュリティアドバイザリ(Security Advisory)のいずれも公表されていない。
このため現時点での対策は,セキュリティのセオリーを守ることに尽きる。具体的には,「信頼できないWebページ/HTMLメールは開かない」「信頼できないリンクはクリックしない」——などを実践する。
◎参考資料
◆MODERATE: Internet Explorer JPEG Processing Vulnerabilities(米SANS Institute)
(勝村 幸博=IT Pro)
