ITmedia NEWS > 速報 >

IEにまたもや未パッチの脆弱性――実証JPEG画像も公に

» 2005年07月22日 17時02分 公開
[高橋睦美,ITmedia]

 WindowsのRemote Desktop Protocolの脆弱性が確認されたのとほぼ同時期に、あるセキュリティ研究者がInternet Explorerに存在する新たな脆弱性を指摘した。実証コードも公開されてしまっているが、パッチはまだリリースされていない。

 問題を発見したマイケル・ザレウスキー(Zalewski)氏は、7月15日にセキュリティ関連メーリングリストに投稿を行った。これによると、IEのJPEGデコーダに複数の脆弱性が存在し、悪用されればWebブラウザがクラッシュしたり、PCがDoS状態に陥る。最悪の場合はリモートから任意のコードを実行される恐れもあるという。

 ザレウスキー氏は問題を公にするとともに、表示させると実際にIEがクラッシュしたり、メモリの戻り値をコントロールできてしまうJPEG形式の画像4点を公開した。Windows XP Service Pack 2+IE 6.0の環境で問題は確認されており、それ以前のバージョンも同様に影響を受ける可能性が高い。

 Microsoftへの事前報告は行っていない。同氏の投稿によれば「Microsoftにセキュリティ上の問題についてレポートし、議論するのは無駄に時間がかかるプロセスで、研究者にあまりに負担をかけるもの」だからというのがその理由だ。

 一方Microsoftではこの問題を把握し、調査を進めているところという。しかし、Microsoft Security Advisoryなどでの情報公開には至っていない。パッチがリリースされていない以上、怪しいWebサイトを避けて不審な画像を表示させないよう心がけるか、信頼できるWebサイト以外ではIE以外のWebブラウザを利用するといった自衛策を取るしかない。

 この問題とは別に、IEおよびMSN Messengerに存在する脆弱性も指摘されている。ICC(International Color Consortium)プロファイル処理に問題があり、細工を施した画像データを読み込むとIEやMSN Messengerがクラッシュするという。この問題についても、パッチはまだリリースされていない。

Copyright © ITmedia, Inc. All Rights Reserved.