ITmedia NEWS > 速報 >

IEに未パッチの深刻な脆弱性、実証コード公開

» 2005年11月22日 08時40分 公開
[IDG Japan]
IDG

 MicrosoftのInternet Explorer(IE)がJavaScriptを処理する方法に未パッチの脆弱性が存在し、ユーザーはどこをクリックするかに注意を払うよう、セキュリティ専門家が呼び掛けている。この問題を突いてWindowsシステムを乗っ取られる可能性があることを実証する「コンセプト実証」コードを英国のセキュリティ研究者が公開したため、特に懸念が強まっている。

 コンセプト実証コードは、ロンドンのセキュリティ研究会社Computer Terrorismが11月21日に公開。IEがJavaScriptの「Window()」機能を処理する方法に存在する問題を突いている。

 セキュリティ企業Cybertrustの科学者で、NTBugtraqのエディターを務めるラス・クーパー氏によれば、このJavaScriptの問題は何カ月も前からセキュリティ専門家の間で知られていたが、これを使ってユーザーのコンピュータをクラッシュさせる以上のことができるとは知られていなかった。

 悪質なコードを起動させるには、ユーザーをだましてWebのリンクをクリックさせる必要があるとクーパー氏。これが実行されてしまうと、連鎖的な反応が起きてユーザーのシステムが制御される恐れがあるという。

 この脆弱性はIEのバージョン5.5と6.xがすべて影響を受けると、Computer Terrorismは説明している。

 問題が非常に深刻なため、Microsoftは12月13日に予定している月例セキュリティアップデートを待たずにIEのパッチを公開するだろうと、クーパー氏は見ている。

 Microsoftからのコメントは得られていない。

 SANS Internet Storm Centerでは問題の回避策として、IEのJavaScriptをオフにするか、FirefoxやOperaなどの代替ブラウザを利用するよう勧告している。

Copyright(C) IDG Japan, Inc. All Rights Reserved.