再びIEに未パッチの脆弱性、詳細は未公開

Internet Explorerに、また新たな脆弱性が発見された。公式なパッチはまだリリースされていない。

» 2005年08月31日 13時54分 公開
[高橋睦美,ITmedia]

 MicrosoftのInternet Explorerに、また新たな脆弱性が発見された。悪用されるとマシンがクラッシュしたり、リモートから任意のコードを実行される恐れがあるというが、修正パッチはまだリリースされていない。

 脆弱性を発見し、8月27日にその存在を公にしたTom Ferris氏によると、脆弱性が確認されたのは、最新のパッチを提供したWindows XP Service Pack 2とIE 6.0の組み合わせ。それ以外の環境でも影響が及ぶ恐れがある。

 FrSIRTの情報によると、この脆弱性は細工の施されたHTMLページを閲覧することによって悪用される。悪意あるWebサイトを訪れただけで任意のコードを実行される可能性があることから、危険性は「クリティカル」とされている。

 Ferris氏は自分のWebサイトで、実際にマシンがクラッシュした際の画像を公開しているが、どのモジュールにどういった問題が存在するのかという詳細は明らかにしていない。同氏は既に問題をMicrosoftに通知しているが、悪用を防ぐため、Microsoftが問題を修正し、パッチを公開した時点で詳細を明らかにするとしている。

 なおFerris氏は、8月の月例パッチで修正された、リモートデスクトッププロトコルの脆弱性(MS05-041)を指摘した人物でもある。

 IEにはこれまでもたびたび、未パッチの脆弱性が指摘されてきた(関連記事)。ユーザーにできることは、少なくとも現時点で入手できるパッチはすべて適用し、不用意にHTMLメールを開いたり、信頼できないWebサイトを訪れないよう注意することだ。また、そうして気を配るのが面倒な場合は、他のWebブラウザ(ただしIEと共通のエンジンは利用していないもの)を用いるという代替手段もある。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ