MS、IE脆弱性のアドバイザリーを発行

既に実証コードが公開されているIEの未パッチの脆弱性について、Microsoftが回避策などを公開した。

[ITmedia]

　先週報告されたInternet Explorer（IE）の未パッチの脆弱性に関して、米Microsoftがアドバイザリーを発行した。

　この脆弱性は仏セキュリティ機関FrSIRTが報告したもので、既に実証コードが公開されている（9月14日の記事参照）。

　Microsoftによると、この問題の影響を受けるのはWindows 2000 SP4、Windows XP SP1およびSP2で動作するIE。Windows Server 2003および同OSのSP1を使っている顧客は、デフォルト設定（Enhanced Security Configurationがオンになっている）の場合は影響を受けないという。

　同社はこの問題を調査中であり、この脆弱性を突くコードの存在は把握しているが、同社の知る限りではこれを悪用した攻撃や顧客への影響はないと述べている。同社は顧客のニーズ次第で、月例パッチの一環として、あるいは臨時パッチとしてこの脆弱性のフィックスを提供する意向だ。

　同社は回避策として、アクティブスクリプトやActiveXコントロールを無効にすることなどを勧めている。