マイクロソフト、IE 6とIE 7にゼロデイ脆弱性の存在を確認
更新プログラムは現在開発中、「JavaScriptの無効化」で対応を
米国Microsoftは11月23日、先週公開されたエクスプロイト・コードを使ってWebブラウザ「Internet Explorer(IE)」の旧バージョン、IE 6とIE 7が稼働するPCを乗っ取ることが可能であることを確認した。しかし、同社のセキュリティ・チームは、実際に攻撃が行われた事例はないとしている。
この攻撃コードは、セキュリティ・メーリング・リスト「Bugraq」に11月20日ポストされたもので、IE 6とIE 7の両方が攻撃対象になるという。Microsoftの広報担当者は、電子メールでの取材に対し「公開されているこのエクスプロイト・コードがIE 6とIE 7(IE 8は含まれない)に影響を与えることを当社として確認した」と説明している。
Webブラウザの利用動向を追跡している「Net Applications」の最新データによると、IE 6とIE 7は、現在世界で使用されているWebブラウザのおよそ41%を占めているという(IE 8の市場シェアは18.1%とのこと)。
Symantecの研究員も、このエクスプロイト・コードに気が付いたが、動作は不安定だという。Symantecの分析チームは、11月21日付けの同社ブログへの書き込みで「このエクスプロイトは、現在のところ信頼性に乏しいが、近い将来、完全に機能する信頼性の高いコードが登場するはずだ」と警告を発している。
Webブラウザなどの脆弱性を追跡調査しているデンマークの「Secunia」によると、このエクスプロイトは、IEのレイアウト構文解析機能に含まれる不具合につけ込むもので、Windows XP Service Pack(SP)3が稼働する修正プログラム完全導入済みのPCも乗っ取ることができるという。Secuniaは、この脆弱性の危険度を上から2番目の「高」にランキングしている。
Microsoftは11月24日になって、この脆弱性に関するセキュリティ・アドバイザリ(977981)「Internet Explorerの脆弱性により、リモートでコードが実行される」を公開。ただし、このセキュリティ・アドバイザリによれば、更新プログラムは現在、開発中とのことであり、提供時期も明らかにされていない。
Microsoftの広報担当者も「IEの脆弱性について新たな警告を出すことを検討している。調査が終了すれば、顧客を守るため、毎月行っているセキュリティ・アップデートや臨時のアップデート、追加のガイダンスを行うなどの適正な対応を取る」という、いつもの説明を繰り返すにとどまっている。
Microsoftが次にセキュリティ・アップデートをリリースするのは、2週間ほど先の12月8日になる。
「nCircle Network Security」のセキュリティ業務担当ディレクター、アンドリュー・ストームズ(Andrew Storms)氏は、Microsoftがこの期日に間に合わせるため迅速に動く可能性は低いと指摘する。「11月後半からホリデー・シーズンに突入することを考えると、12月8日のセキュリティ・アップデートでこのバグが修正されるとは思えない」と語っている。
同氏は、バグを修正する代わりに、IE 6/IE 7ユーザー向けの自己防衛対策を示す可能性が高いと見ている。
現在のエクスプロイト・コードはJavaScriptを必要とするため、SymantecはIE 6とIE 7のJavaScriptを無効にするように呼びかけている。
(Gregg Keizer/Computerworld米国版)
