未パッチのIE 6脆弱性、MSは「調査中」

実証コードが出回っているIE 6脆弱性について、MSでは調査が完了次第、対策を公開するという。（IDG）

[IDG Japan]

　MicrosoftはInternet Explorerに重大なセキュリティ欠陥が見つかったとの報告を調査中だが、問題の実証コードは未確認だという。Microsoftが11月4日、明らかにした。

　今週初め、セキュリティ専門家がIEで新たに発見されたセキュリティホールの実証コードがインターネット上に出回っていると警告した。このコードはIE 6のバッファオーバーフロー脆弱性を悪用するもので、デンマークのセキュリティ企業、Secuniaによれば、Windows XP with Service Pack 1およびWindows 2000での動作が確認されている。

　U.S. Computer Emergency Readiness Team (CERT) はSecuniaのアドバイザリーと類似の警告を発した。CERTではIE 6のWebブラウザだけではなく、ブラウザコントロールに依存している電子メールクライアントなどのアプリケーションにも脆弱性があると指摘している。SecuniaとCERTはともに、この脆弱性を悪用したコンピュータ乗っ取りが可能だと警告している。

　Microsoftは脆弱性の可能性について調査を行っているとの声明を出したが、SecuniaとCERTが脆弱性を悪用するコードが入手可能になっていると警告しているのに対し、Microsoftではコードを見つけていないと述べている。「当社は問題とされている脆弱性を積極的に悪用した例や、それにより影響を受けたユーザーの事例に関する報告を受けていない。しかし、公開された報告について積極的に調査を進めている」とMicrosoftは述べている。

　IEが、HTML要素である「FRAME」と「IFRAME」においてSRCとNAME属性を取り扱う方法に欠陥があると、CERTでは警告している。不正なコードが含まれたWebページを見るか、HTMLメールを読むと、攻撃を受ける可能性がある。

　この欠陥にはパッチが存在しないが、SecuniaとCERTによれば、Windows XP Service Pack 2を適用したコンピュータは保護されているという。

　この調査が完了次第、Windowsユーザーを保護するための適切な手段を取るとMSは述べている。月例のセキュリティパッチ、臨時のセキュリティアップデートによるフィックスの可能性を同社では示唆している。