MS、IE脆弱性のアドバイザリを発行。パッチはまだ

実証コードも出回りだしたIEの脆弱性について、Microsoftがアドバイザリを発行した。同社はこの問題を調査中だとしている。

[ITmedia]

　米Microsoftは11月21日、Internet Explorer（IE）の脆弱性に関するアドバイザリを公開した。

　この脆弱性はIEがJavaScriptを処理する方法に関連したもので、既にロンドンのセキュリティ研究会社Computer Terrorismがこの脆弱性を突く実証コードをリリースしている（関連記事参照）。

　Microsoftはこの脆弱性に関する報告を調査中だとしている。この問題はWindows 98／Me／2000 SP4／XP SP2のIEで報告されている。Windows Server 2003およびWindows Server 2003 SP1をデフォルト設定で利用し、「Enhanced Security Configuration」をオンにしているユーザーは影響を受けないという。

　Microsoftは、調査が終わり次第適切な措置を取るつもりであり、月例パッチあるいは臨時パッチとしてセキュリティアップデートをリリースする可能性もあるとしている。

　この問題を利用して攻撃を仕掛けるには、この脆弱性を突くWebページを作成し、そのページへのリンクをユーザーにクリックさせるなどして、ユーザーをアクセスさせなければならない。同社はユーザーに対し、電子メールに含まれるリンクをクリックする際に注意するよう呼びかけている。

　アドバイザリによると、この問題は初め5月に安定性の問題として報告されたが、その後、これをリモートコード実行に利用できるという新たな情報が出回ったという。