米MicrosoftのInternet Explorer 7にゼロデイの脆弱性が見つかり、これを悪用した攻撃が発生していると、セキュリティ各社が伝えた。Microsoftは9日の月例パッチでIEの更新プログラムを公開したが、この脆弱性の修正は盛り込まれていないという。
SANS Internet Storm Center、McAfee、Secuniaなどの情報を総合すると、脆弱性はXMLタグを処理する際のヒープオーバーフロー問題に起因する。細工を施したHTML文書を使って脆弱性が悪用された場合、任意のコードを実行される恐れがある。
脆弱性は、完全にパッチを当てたWindows XP SP3/Windows 2003上のIE 7で確認された。McAfeeはVista SP1にも影響するとしており、ほかのバージョンのWindowsやIEも影響を受ける可能性がある。
既に悪用コードも出回り、実際に攻撃が発生しているという。この脆弱性を突いたマルウェアは主に中国でWebサイトを介して感染を広げている模様だ。
Secuniaの深刻度評価は5段階で最も高い「Extremely critical」。同社は信頼できないサイトを閲覧したり、不審なリンクをクリックしないなどの自衛策を呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR