IEの未パッチの脆弱性狙う攻撃コード公開で警戒レベル引き上げ

[ITmedia]

　9月28日、Internet Explorerに存在する未パッチの脆弱性を狙った新たな攻撃コードが登場したことから、セキュリティ機関が注意を呼びかけている。

　今回浮上した脆弱性は、9月27日に緊急パッチがリリースされたVector Markup Language（VML）関連の問題とは異なる。元々はH D Moore氏が7月に公にした脆弱性だが、新たに任意のプログラムを実行可能な攻撃コードが公開されたことから、緊急性が引き上げられた。

　この脆弱性は、WindowsのActiveXコントロールオブジェクト「WebViewFolderIcon」にバッファオーバーフローの問題が存在するというもの。細工を施したWebサイトを閲覧したり、HTMLメールを開くと、任意のコードが実行される恐れがある。当初は、IEをクラッシュ状態に追いやる攻撃コードのみが公開されていたが、新たに、任意のコードを実行できる実証コードが公開された。

　この脆弱性に対するMicrosoftのパッチは提供されていない。ActiveXを無効にする、WebViewFolderIconに対してKill Bitを設定して無効にすることが回避策となる。また、信頼できないリンクを不用意にクリックしないといった基本的な対策も有効だ。