再びWindows OSにゼロデイ攻撃

マイクロソフトは11月4日、Windows OSに新たな脆弱性が発見され、それを悪用した攻撃が登場したことを警告した。

[ITmedia]

　Windows OSに新たな脆弱性が発見され、それを悪用したゼロデイ攻撃も出現した。マイクロソフトは11月4日、新たな脆弱性の存在を明らかにし、当面の回避方法を示したセキュリティアドバイザリを公開した。

　この脆弱性は、Windows 2000／XPおよびWindows Server 2003に影響する。これらのOSが搭載するMicrosoft XML Core Service 4.0の一部、XMLHTTP4.0 ActiveX コントロールに脆弱性が存在し、細工を施したWebサイトにInternet Explorerでアクセスすると、任意のコードを実行される可能性がある。Secuniaではこの問題の緊急性を、最も危険度の高い「Extremely critical」としている。

　ただしWindows Server 2003／同SP1では、デフォルトの設定で利用している場合は攻撃の影響を受けないという。

　今のところ、脆弱性を修正するセキュリティパッチはリリースされていない。マイクロソフトでは代わりに、IEからXMLHTTP4.0 ActiveX コントロールが呼び出されないようレジストリを修正する方法を回避策として挙げている。また、IEのセキュリティ設定を変更し、アクティブ スクリプトやActiveXコントロールを無効にすることも1つの手段だ。

　マイクロソフトやMcAfeeによると、アドバイザリーが公表された時点では、この脆弱性を悪用した攻撃は「限定的」なものという。しかしMcAfeeでは、悪用コードが公になればすぐさま、攻撃が指数関数的に増加する可能性があると指摘している。