VBScriptの未修正の脆弱性を突くPoCが公開、MSが回避策を呼び掛け

[ITmedia]

　MicrosoftのVBScriptに未修正の脆弱性が見つかった問題で、SANS Internet Storm Centerは3月2日、この脆弱性を突くコンセプト実証（PoC）コードが公開されたと伝えた。

　それによると、このPoCではWindows 2000、Windows XP SP2／SP3、Windows 2003 SP2で脆弱性を悪用する方法について解説しているという。ただし現時点で、実際の攻撃は確認されていないとしている。

　Microsoftによれば、脆弱性はInternet Explorer（IE）におけるVBScriptとWindows Helpファイルの相互作用の方法に存在する。悪質なWebサイトをIEで閲覧させて「F1」キーを押させることにより、攻撃者が任意のコードを実行できてしまう可能性が指摘されている。

　Microsoftは1日付で公開したアドバイザリーやSecurity Research & Defenseのブログで、当面の攻撃を防ぐための対処方法を解説している。また、米US-CERTもこの問題に関連して、「WebサイトでF1キーを押すよう促すメッセージが出ても、このキーは押さない」「Windows Help Systemへのアクセスを制限する」などの対策を呼び掛けた。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら