米マイクロソフトなどは2009年11月23日、Webブラウザー「Internet Explorer 6および7(IE6とIE7)」に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで、ウイルス(悪質なプログラム)に感染する恐れなどがある。実際、脆弱性を突くコード(プログラム)が公開されている。
セキュリティ企業各社の情報によれば、同年11月20日、セキュリティ関連のメーリングリストに、IE7の脆弱性を突くコードが投稿されたという。各社が検証したところ、そのコードが突くのは、セキュリティ更新プログラム(修正パッチ)が公開されていない脆弱性であることが判明。マイクロソフトも、11月23日付けで今回の脆弱性を警告する情報を公開した。
同社の情報によれば、影響を受けるのはIE6およびIE7。これらのIEには、特定のデータを適切にチェックしない脆弱性が見つかった。このため、細工が施されたWebページにアクセスするだけで、ウイルスなどを勝手に実行される恐れがある。IE5.01やIE8は影響を受けない。
米シマンテックなどによれば、公開されている攻撃コードは安定していないものの、近いうちに、安定したコードが公開される可能性が高いと警告。国内のセキュリティ企業であるフォティーンフォティ技術研究所では、投稿されている攻撃コードに手を入れると、日本語環境でも動作することを確認。「安定的に攻撃可能」な脆弱性であるとして、注意を呼びかけている。マイクロソフトでは、今回の脆弱性を悪用した実際の攻撃は報告されていないとする。
現時点では、修正パッチは未公開。回避策の一つは、IEのアップグレード。IE8にアップグレードすれば、今回の脆弱性の影響を受けなくなる。
IEの設定変更も回避策として有効。今回の脆弱性の悪用にはJavaScriptが使われる。このためIEのセキュリティ設定を変更して、JavaScript(アクティブスクリプト)を無効にすれば、脆弱性を悪用されなくなる。そのほか、「セキュリティ対策ソフトを適切に利用する」や「信頼できるサイトのみにアクセスする」なども回避策になる。
