マイクロソフトは9月29日、危険性の高い実証コードが公開されたInternet Explorerの脆弱性に関するセキュリティアドバイザリを公開した。
マイクロソフトは9月29日、危険性の高い実証コードが公開されたInternet Explorerの脆弱性に関するセキュリティアドバイザリを公開した。問題の回避策をまとめるとともに、問題を修正するパッチを10月11日に公開するとしている。
この脆弱性は、Windowsシェルに含まれるActiveXコントロール「WebViewFolderIcon」に整数オーバーフローが存在するというもの。細工を施したHTMLファイルを開くとIEがクラッシュしたり、任意のコードを実行される危険性がある。
この脆弱性は、セキュリティ研究者のH D Moore氏が7月に指摘していた。当初はシステムをDoS状態に陥れる実証コードのみが公開されていたが、9月28日になって、脆弱性を悪用して任意のコードを実行させる実証コードが公開されたため、危険性が高まっていた(関連記事)。
マイクロソフトはセキュリティアドバイザリの中で、問題の回避策として「IEの設定を変更し、ActiveXコントロールの実行を無効にする」「レジストリを変更し、WebViewFolderIconに対してKill Bitを設定して無効にする」といった事柄を挙げている。
同時に、「ウイルス対策ソフトウェアを最新の状態にする」「信頼できないソースからの電子メールや電子メール内のリンクを開く際に細心の注意を払う」といった基本的な対策の徹底も推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.