［世界］
マイクロソフト、「全バージョンのIEに脆弱性」と警告

データ・バインディング機能にバグ。修正パッチのリリース時期は未定

（2008年12月15日）

　米国Microsoftは12月12日、同社がサポートしているすべてのバージョンのInternet Explorer（IE）に脆弱性が存在することを明らかにした。

　このIEの脆弱性は、12月11日にMicrosoftが公開した警告文書（セキュリティ・アドバイザリ）では、IE 7のみにかかわるものとされていた。しかし翌12日に同アドバイザリが更新され、現在同社がサポートしているIEの全バージョン（IE 5.01、6、7）と、限定公開中のために正式サポートのされていないIE 8ベータ2にも脆弱性が存在することが明記された。

Microsoftのセキュリティ・アドバイザリ

　Microsoftは、Windows 2000、XP、Vista、Server 2003、Server 2008上でこれらのバージョンのIEを稼働させているすべてのユーザーが攻撃の対象となる可能性があると警告している。

　ただし同社は、この脆弱性の深刻度はさほど高くないと見ているようだ。セキュリティ・アドバイザリには、「今回の脆弱性を悪用した攻撃は、現在のところIE 7を対象にしたものがごくわずか確認されているだけである」と記されている。

　またMicrosoftは、この脆弱性の原因が、IEのデータ・バインディング機能のバグにあるとしている。

　この点について同社は次のように説明している。「IEのデータ・バインディング機能に含まれる有効でないポインタ参照が脆弱性の原因である。データ・バインディングが有効になっていると（デフォルト状態）、一定の条件下で配列の長さをアップデートせずにオブジェクトをリリースしてしまい、削除されたオブジェクトのメモリ・スペースにアクセスできてしまう可能性がある。これにより、第三者の手でIEが勝手に終了させられたり、乗っ取られてしまうようになる」

　Microsoftでは、今回明らかにされた脆弱性への応急処置として、「oledb32.dll」の機能を無効にすることを推奨している。oledb32.dllは、各種のデータにアクセスするための技術を集めた「Microsoft Data Access」のコンポーネントである。

　今回、IEの脆弱性の存在を発見してMicrosoftに通知したデンマークのセキュリティ・ベンダー、Secunia ASPの最高セキュリティ・スペシャリスト、カーステン・エイラム（Carsten Eiram）氏は、「当初ちまたに流れていた、IEのセキュリティ設定を『高』にしたり、スクリプト機能を無効にしたりすることで脆弱性への攻撃を避けることができるという情報は誤っている」と警告したうえで、Microsoftの新しいセキュリティ・アドバイザリに従い、Windowsのレジストリを編集して「oledb32.dll」を無効にするよう呼びかけている。

　またエイラム氏は、セキュリティ・パッチのリリース時期について、「Microsoftは、通常の修正パッチのリリース・サイクルとは異なるタイミングで緊急のパッチをリリースするのではないか」との見解を示している。

　ただし現在のところMicrosoftは、この脆弱性に対応するセキュリティ・パッチのリリース時期を明示していない。

　ちなみに同社では、12月9日に過去5年間で最大規模となる28の脆弱性に対応するセキュリティ・パッチをリリースしたばかりだ。

(Gregg Keizer／Computerworld米国版)