Microsoft、新たなIEの脆弱性を調査

この脆弱性はIEのバッファオーバーフローの問題を悪用できるというもので、Microsoftの担当者は危険かもしれないWebサイトを避けるようアドバイスしている。

[Matt Hines，eWEEK]

　米Microsoft関係者は、Internet Explorer（IE）で新たに発見された脆弱性について詳しく調査しているところだと明らかにした。

　このバグは初め、独立系セキュリティ研究者マイケル・ザレウスキー氏が発見した、広く配布されているこのバグの報告書によると、攻撃者はこの脆弱性を攻撃する目的で特殊なHTMLコードを作成することで、IEのバッファオーバーフローの問題を悪用できるという。

　ザレウスキー氏は、この脆弱性を「非常に興味深く、一見かなり利用できそうなオーバーフロー」と呼び、これを簡単に利用してIEで不正なコードを実行できると話す。

　Microsoftの担当者は、同社が把握する限りではこの脆弱性を利用した攻撃の試みは見られないとし、同社はこの問題の調査を続けていると語った。継続中の調査に基づき、すぐにセキュリティアドバイザリーを発行するか、月例パッチの一部としてIEのアップデートを提供すると同社は述べている。

　Microsoftのセキュリティ対策センターでリードセキュリティプログラムマネジャーを務めるレナート・ウィストランド氏は同社のブログで、この問題はIEを停止させる可能性があると記している。同社がこの問題を調べる間、IEユーザーは危険かもしれないWebサイトを避けるよう同氏はアドバイスし、MicrosoftのPC Safetyホットラインのセキュリティアドバイスを求める人に、無料カスタマーサービスへのアクセスを提供している。

　Microsoftは通常、この種の脆弱性報告を軽視するが、同社が月例パッチとは別にパッチを発行するかどうかから、同社がこの最新のIE脆弱性をどの程度深刻にとらえているかが分かるはずだ。

　Microsoftは、Windows Vistaと同時に年内にリリースされる待望の次期版ブラウザIE 7では、セキュリティ強化を中心的なテーマの1つにしてきた。同社は潜在的な脆弱性を排除するためにかなり基盤コードの調整作業を行ったほか、ユーザーを不正なプログラムやWebサイトから保護する機能を多数追加した。

　現在開発者向けに提供されているIE 7β版の初期のレビューでは、インターネット利用に関する情報のうち、どのタイプの情報をコンピュータに格納するか選択できる「Delete Browsing History」などの機能が賞賛されている。

　このβ版は、インターネット監視機関により詐欺サイトあるいは疑わしいサイトとして特定済みのサイトのブラックリストとWebサイトのURLを相互参照するフィッシング対策機能を備えている。またIE 7は、偽装アドレスを特定しやすくすると言われる国際化ドメインもサポートする。

原文へのリンク