【 ここから本文 】
[特集]Webブラウザ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
IEに新たな未パッチの脆弱性──実証コードも公開
(2006年09月15日)
米国マイクロソフトのWebブラウザ「Internet Explorer(IE)」の新たな未パッチの脆弱性を突く攻撃コードのサンプルが、9月13日にインターネット上で公開された。
米国シマンテックのセキュリティ・レスポンス・チームのグループ・プロダクト・マネージャー、ビンセント・ホワン氏によると、この脆弱性は、マイクロソフトが8月にリリースした更新プログラム「MS06-042」で指摘されていたIEのCOMオブジェクトの処理上のバグに似ているという。
ホワン氏によると、この脆弱性の存在を実証するサンプル・エクスプロイト・コードが9月13日に「xsec.org」に投稿されたが、同コードを利用した実際の攻撃はまだ検出されていないという。この脆弱性が悪用された場合、ユーザーが攻撃者によって細工されたWebサイトを閲覧しただけで、不正なプログラムが実行される危険性がある。
現時点で、この脆弱性の影響を受けるWindowsとIEのバージョンの詳細は明らかになっていない。だが、デンマークのセキュリティ対策会社セキュニアの研究者らは、最新バージョンのWindows XP上でIE 6.0を使用する環境でエクスプロイト・コードを作成できたと報告しているほか、Windows 2000のユーザーにも危険があるとしている。
マイクロソフトからの直接のコメントは得られなかったが、同社の広報代理店の担当者は、この問題については現在調査中だと述べている。
シマンテックはこの脆弱性を危険と見なしており、セキュニアもこの脆弱性の危険度を、5段階中2番目に高い「highly critical」に分類している。
xsec.orgに問題のサンプル・コードを公開したハッカーらは、これまでに公表されていない脆弱性を突いたものという意味で、そのコードを「ゼロデイ・エクスプロイト」と呼んでいる。
一方、Metasploitプロジェクトを率いる著名なハッカー、HD・ムーア氏は、このIEの脆弱性は、同氏自身が作成したActiveX自動検査ツール「AxMan」を含め、現在出回っている各種セキュリティ・ツールで簡単に発見できたため、「ゼロデイと称するのは大げさ」と述べたものの、今回のサンプル・エクスプロイトに利用された脆弱性は「きわめて容易に悪用できる」と注意を促している。同氏によると、IEにはほかにも公表されていない同様の脆弱性が3〜4個存在するという。
(ロバート・マクミラン/IDG News Service サンフランシスコ支局)
- 米国シマンテック
- http://www.symantec.com/
- 米国マイクロソフト
- http://www.microsoft.com/
