Internet Explorer(IE)7の脆弱性を突いたゼロデイ攻撃が発生している問題で、米Microsoftは12月13日付でアドバイザリーを更新し、脆弱性の影響がIE 7だけでなくIEの全バージョンに及ぶことを明らかにした。
Microsoftによると、この脆弱性を突いた攻撃は、現時点で確認されている限りではIE 7のみが標的となっている。しかし脆弱性はIE 7のほか、IE 5.01 SP4、IE 6/SP1、IE 8 β2にも存在し、サポート対象の全Windowsが影響を受ける可能性があるという。
脆弱性は、IEのDHTMLデータバインディング処理方法に関するメモリ破損問題に起因し、悪質なHTMLを使って悪用される恐れがある。
アドバイザリーでは回避策の選択肢を9項目に増やした。しかしデータバインディングを無効にできるオプションがあるのはIE 8のみ。それ以外のバージョンで攻撃をかわすためには、OLEDB経由でMSHTML.dllにある問題のコードにアクセスできなくするか、この脆弱性に対して最も高いセキュリティ設定にする必要があるという。
ただしこうした措置をとった場合、一部サイトが正しく機能しなくなるなどの問題が起きる可能性もある。
関連記事
- MSがIE 7の脆弱性を確認、アドバイザリーを公開
IE 7の脆弱性問題でMicrosoftがアドバイザリーを公開した。SANSによれば、サイトに不正コードを仕掛けるSQLインジェクション攻撃も発生している。 - IE 7にゼロデイの脆弱性、月例パッチでは未解決
Windows XP SP3で動作するIE 7に極めて深刻な脆弱性が確認された。主に中国でWebサイトを介して感染を広げている模様だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.