ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

IE 7にゼロデイの脆弱性、月例パッチでは未解決中国のサイトで感染の疑い

» 2008年12月11日 08時03分 公開
[ITmedia]

 米MicrosoftのInternet Explorer 7にゼロデイの脆弱性が見つかり、これを悪用した攻撃が発生していると、セキュリティ各社が伝えた。Microsoftは9日の月例パッチでIEの更新プログラムを公開したが、この脆弱性の修正は盛り込まれていないという。

 SANS Internet Storm Center、McAfee、Secuniaなどの情報を総合すると、脆弱性はXMLタグを処理する際のヒープオーバーフロー問題に起因する。細工を施したHTML文書を使って脆弱性が悪用された場合、任意のコードを実行される恐れがある。

 脆弱性は、完全にパッチを当てたWindows XP SP3/Windows 2003上のIE 7で確認された。McAfeeはVista SP1にも影響するとしており、ほかのバージョンのWindowsやIEも影響を受ける可能性がある。

 既に悪用コードも出回り、実際に攻撃が発生しているという。この脆弱性を突いたマルウェアは主に中国でWebサイトを介して感染を広げている模様だ。

 Secuniaの深刻度評価は5段階で最も高い「Extremely critical」。同社は信頼できないサイトを閲覧したり、不審なリンクをクリックしないなどの自衛策を呼び掛けている。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.