IEに新たな脆弱性、実証コードも登場

公開された実証コードは完全にパッチが当てられたバージョンのIEをクラッシュさせることができ、改変も容易だ。

[Ryan Naraine，eWEEK]

　中国のセキュリティ研究者が、MicrosoftのInternet Explorer（IE）の新たなゼロデイ脆弱性の詳細な実証コードを公開した。

　XSec.orgとMilw0rm.comに投稿されたこの実証コードは、簡単な修正を加えて、完全にパッチが適用されたWindows上で、ユーザーの操作不要のコード実行攻撃を起こすのに利用できる。

　Microsoftセキュリティ対策センター（MSRC）の広報担当者は、同社がこの件を調査していることを明らかにした。まだ未パッチのままの既知の高リスクの脆弱性はほかにも存在し、この問題もその1つとして加わることになる。

　実証コードに埋め込まれたメモによると、この脆弱性はCOM Objectのヒープオーバーフローのバグで、Windows XP SP2およびWindows Server 2000 SP4で動作する中国語版IE 6.0で確認された。

　悪意を持ったハッカーは通常、ブラウザのコード実行脆弱性を利用してドライブバイ（自動）攻撃を仕掛け、トロイの木馬やボットなどのマルウェアをWindowsコンピュータにロードする。

　米Exploit Prevention LabsのCTO（最高技術責任者）ロジャー・トンプソン氏は、このコードを使って攻撃をシミュレートすることはできたとしつつも、このコードが常に確実に動くとは限らないと指摘した。

　eWEEKの取材に応え、同氏は、この実証コードは完全にパッチが当てられたバージョンのIEをクラッシュさせることができ、容易に改変してターゲットを絞った攻撃に利用できると語った。

　同氏は、ゼロデイコードを遮断するExploit Prevention Labsの「SocketShield」にシグネチャを追加した。

　「誰かがこのコードを改変した場合に備えて、このことを知っておいて、監視した方がいい。だが、現状では大きな脅威ではない」（同氏）

　今回の実証コードは、MicrosoftのIEチームにとって難しい時期に登場したと言える。同チームは8月にリリースされた累積IEパッチを、オリジナルパッチの2つの欠陥のために2回リリースし直さなくてはならなかった。

　セキュリティアラートを集積しているSecuniaの脆弱性統計によると、2006年に報告されたIEのバグの約30％は、まだパッチがリリースされていないという。

　同サイトが今年発行した13件のアドバイザリーに基づくと、報告されたIEのバグの60％は「highly critical」または「extremely critical」に分類されている。

　Microsoftは2006年にIEのセキュリティ情報を4件発行しており、これらはすべて「緊急」とされている。

原文へのリンク