速報
» 2004年11月05日 08時28分 UPDATE

未パッチのIE 6脆弱性、MSは「調査中」

実証コードが出回っているIE 6脆弱性について、MSでは調査が完了次第、対策を公開するという。(IDG)

[IDG Japan]
IDG

 MicrosoftはInternet Explorerに重大なセキュリティ欠陥が見つかったとの報告を調査中だが、問題の実証コードは未確認だという。Microsoftが11月4日、明らかにした。

 今週初め、セキュリティ専門家がIEで新たに発見されたセキュリティホールの実証コードがインターネット上に出回っていると警告した。このコードはIE 6のバッファオーバーフロー脆弱性を悪用するもので、デンマークのセキュリティ企業、Secuniaによれば、Windows XP with Service Pack 1およびWindows 2000での動作が確認されている。

 U.S. Computer Emergency Readiness Team (CERT) はSecuniaのアドバイザリーと類似の警告を発した。CERTではIE 6のWebブラウザだけではなく、ブラウザコントロールに依存している電子メールクライアントなどのアプリケーションにも脆弱性があると指摘している。SecuniaとCERTはともに、この脆弱性を悪用したコンピュータ乗っ取りが可能だと警告している。

 Microsoftは脆弱性の可能性について調査を行っているとの声明を出したが、SecuniaとCERTが脆弱性を悪用するコードが入手可能になっていると警告しているのに対し、Microsoftではコードを見つけていないと述べている。「当社は問題とされている脆弱性を積極的に悪用した例や、それにより影響を受けたユーザーの事例に関する報告を受けていない。しかし、公開された報告について積極的に調査を進めている」とMicrosoftは述べている。

 IEが、HTML要素である「FRAME」と「IFRAME」においてSRCとNAME属性を取り扱う方法に欠陥があると、CERTでは警告している。不正なコードが含まれたWebページを見るか、HTMLメールを読むと、攻撃を受ける可能性がある。

 この欠陥にはパッチが存在しないが、SecuniaとCERTによれば、Windows XP Service Pack 2を適用したコンピュータは保護されているという。

 この調査が完了次第、Windowsユーザーを保護するための適切な手段を取るとMSは述べている。月例のセキュリティパッチ、臨時のセキュリティアップデートによるフィックスの可能性を同社では示唆している。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -