デンマークのSecuniaは27日(現地時間)、Internet Explorer(IE)に未修正の新たな脆弱性が見つかったとして注意を促した。
Secuniaによると、新しく見つかった脆弱性はHTMLアプリケーション(HTA)の取り扱いに起因するもので、不特定のエラーによってユーザーの確認なしでHTAが実行される恐れがあるという。同社は、深刻度を5段階評価の上から2番目「Highly critical」と評価し、信頼できないサイトにはアクセスしないよう呼びかけている。また、検証されてはいないものの、アクティブスクリプトを無効にすることによって攻撃を回避できるのではないかとしている。
HTAは、HTMLで書いたアプリケーションのこと。通常のHTMLファイルをWebブラウザが実行するのに対し、拡張子を「.HTA」にするとHTMLアプリケーションホスト(mshta.exe)がこれを実行。ブラウザの代わりにフォームを開いて表示処理等が行われる。扱いはアプリケーションなので、通常はファイルダウンロードのセキュリティ警告が表示されるが、何らかの細工によってこれが迂回され、HTMLアプリケーションホストがアクセス制限のないローカルアプリケーションとしてHTMLの内容を実行してしまう可能性があるというのが本脆弱性の内容だ。したがって「.HTA」の関連付けを削除し、HTAそのものを実行できないようにすることによっても、脆弱性を悪用した攻撃を回避することができる。
【アクティブスクリプトを無効にする方法】
1)IEの[ツール]メニューから[インターネットオプション]を実行
2)[セキュリティ]タブを開き[インターネット]ゾーンを選択し、[レベルのカスタマイズ]ボタンを押す
3)[設定]リストにある[アクティブスクリプト]のラジオボタンを[無効にする]に設定
4)[OK]ボタン→[OK]ボタンで設定終了
※標準設定では、「インターネット」「イントラネット」ゾーンのアクティブスクリプトは有効に、「制限付きサイト」は無効に設定されている。
【.HTAの関連付けを削除する方法】
1)Windowsのスタートメニューから[ファイル名を指定して実行]を実行
2)[名前]に「%windir%\system32\mshta.exe /unregister」と入力(「」は不要)
3) [OK]ボタンを押す
※変更を元に戻す場合には、(2)で「%windir%\system32\mshta.exe /register」と入力する。
(2006/03/30 ネットセキュリティニュース)
■Internet Explorer Unspecified Automatic .HTA Application Execution[英文](Secunia)
http://secunia.com/advisories/19378/