MS、IE狙う実証コード公開を受けて10月11日にパッチ公開へ

[ITmedia]

　マイクロソフトは9月29日、危険性の高い実証コードが公開されたInternet Explorerの脆弱性に関するセキュリティアドバイザリを公開した。問題の回避策をまとめるとともに、問題を修正するパッチを10月11日に公開するとしている。

　この脆弱性は、Windowsシェルに含まれるActiveXコントロール「WebViewFolderIcon」に整数オーバーフローが存在するというもの。細工を施したHTMLファイルを開くとIEがクラッシュしたり、任意のコードを実行される危険性がある。

　この脆弱性は、セキュリティ研究者のH D Moore氏が7月に指摘していた。当初はシステムをDoS状態に陥れる実証コードのみが公開されていたが、9月28日になって、脆弱性を悪用して任意のコードを実行させる実証コードが公開されたため、危険性が高まっていた（関連記事）。

　マイクロソフトはセキュリティアドバイザリの中で、問題の回避策として「IEの設定を変更し、ActiveXコントロールの実行を無効にする」「レジストリを変更し、WebViewFolderIconに対してKill Bitを設定して無効にする」といった事柄を挙げている。

　同時に、「ウイルス対策ソフトウェアを最新の状態にする」「信頼できないソースからの電子メールや電子メール内のリンクを開く際に細心の注意を払う」といった基本的な対策の徹底も推奨している。