マイクロソフトは30日(現地時間・以下同じ)、Internet Explorerの新たな脆弱性に関して、米サイトで「セキュリティアドバイザリ(903144)」を公開した。
これは、オーストリアのセキュリティベンダー SEC Consult の脆弱性に関する詳細情報の公開を受けてリリースしたもので、Internet Explorer(IE)のCOMオブジェクト(Javaprxy.dll)の処理に問題があり、IEがクラッシュしたり、任意のコードが実行されるおそれがあるというもの。
同社は、6月17日にマイクロソフトに対し同脆弱性を報告し、29日に同脆弱性を利用してIEをクラッシュさせることはできないとの調査結果を報告された。同社はこれを受けて同日、脆弱性に関する詳細情報をWeb上で公開。マイクロソフトがあらためて問題点を認め、セキュリティアドバイザリをリリースする形となった。
同脆弱性に関し、マイクロソフトは現在調査中としており、適切な回避策や修正パッチが提供できるまでは、IEの「インターネット」「イントラネット」のセキュリティレベルを「高」に設定することを推奨している。影響を受けるシステムは、Windows XP/2003/2000/98/SE/Meで、IE 5.01~6。Java仮想マシンがインストールされていないシステムには影響はない。
■Microsoft Security Advisory (903144) [英文](マイクロソフト)
http://www.microsoft.com/technet/security/advisory/903144.mspx
■IE6 javaprxy.dll COM instantiation heap corruption [英文](SEC Consult)
http://www.sec-consult.com/184.html