IEに未パッチの深刻な脆弱性

[ITmedia]

　仏セキュリティ機関FrSIRTは9月13日、MicrosoftのInternet Explorer（IE）で脆弱性が発見されたと警告を発した。危険度は4段階中最も高い「Critical」としている。

　この脆弱性は、ActiveXオブジェクト「DirectAnimation.PathControl」の「KeyFrame()」メソッドに特殊な細工を施した引数が渡されて処理された場合にメモリ破損エラーが起きることが原因。攻撃者がこれを悪用すると、ユーザーに不正なWebページを訪問させることで、脆弱なシステム上でブラウザをクラッシュさせたり、任意のコマンドを実行できてしまうという。

　この脆弱性の影響を受けるのは、Windows 2000 SP4上で動作するIE 5.01 SP4、Windows 2000およびWindows XP SP1で動作するIE 6 SP1、Windows XP SP2およびWindows Server 2003で動作するIE 6、Windows 98およびWindows Meで動作するIE 6 SP1。

　この脆弱性を修正する公式パッチはリリースされておらず、またこの脆弱性を突く実証コードは既に公開されているという。

　FrSIRTはこの問題の解決策として、アクティブスクリプトを無効にすることを挙げている。