フランスのFrSIRTとデンマークのSecuniaは21日(現地時間)、Internet Explorer(IE)のJavaScriptが持つ未修正の脆弱性を利用し、外部から任意のコマンドが実行できることが確認されたと発表。ともに深刻度を最高レベルの「Critical」として警告している。
問題の脆弱性は今年5月に発見された、JavaScriptでメモリー破壊が起こるというもの。悪用すると、サービス拒否攻撃(DoS:Denial of Service)やシステムクラッシュを引き起こすおそれがあったが、今回公開された実証コードによって、細工されたページを閲覧すると任意のコマンドが実行されることがわかった。
各社では、最新のセキュリティ更新プログラムを適用したIE6とWindows XP SP2、およびWindows 2000 SP4での動作を確認しており、正式なパッチが用意されるまでの措置として、「アクティブスクリプト」を「無効にする」に設定する回避策が示されている。
【アクティブスクリプトを無効にする方法】
次の方法で「インターネット」ゾーンでのアクティブスクリプトを無効にすることができる。
1)IEの「ツール」メニューから「インターネットオプション」を実行
2)「セキュリティ」タブを選択し「Webコンテンツのゾーンを選択してセキュリティのレベルを設定する」から「インターネット」を選択
3)「レベルのカスタマイズ」ボタンを押して「セキュリティの設定」ダイアログボックスを開く
4)「設定」ボックスの「アクティブスクリプト」の下にあるラジオボタンから「無効にする」を選択する
5)「OK」ボタンを押して設定を反映する
(2005/11/22 ネットセキュリティニュース)
■Microsoft Internet Explorer "window()" Code Execution Vulnerability [英文](FrSIRT)
http://www.frsirt.com/english/advisories/2005/2509
■Secunia - Advisories - Microsoft Internet Explorer window() Arbitrary Code Execution Vulnerability [英文](Secunia)
http://secunia.com/advisories/15546/