デンマークのSecuniaは22日(現地時間)、Internet Explorer(IE)に未修正の深刻な脆弱性が発見されたと発表した。
Secuniaによると、同脆弱性はIEが「createTextRange()」メソッドを適切に処理できないことに起因。メモリ上のコードを呼び出すことができるため、悪用されるとリモートから任意のコードが実行される恐れがあるという。Secuniaでは深刻度を5段階評価の上から2番目「Highly critical」と評価。IEのアクティブスクリプトを無効にするよう勧めている。
同脆弱性は、IEをクラッシュさせる実証コードがすでにインターネット上で公開されており、マイクロソフトでも調査中であることを同社セキュリティチームのブログ「Microsoft Security Response Center Blog」で明かしている。同ブログによると、アドバイザリとパッチの準備を進めているといい、IEのアクティブスクリプトを無効にすれば、脆弱性を悪用した攻撃を回避できるとしている。
【アクティブスクリプトを無効にする方法】
1) [ツール]メニューの[インターネットオプション]を実行
2) [セキュリティ]タブを開き、[インターネット]ゾーンを選択し、[レベルのカスタマイズ]ボタンを押す
3) [設定]リストにある[アクティブスクリプト]のラジオボタンを[無効にする]に設定
4) [OK]ボタン→[OK]ボタンで設定終了
※[制限付きサイト]は標準でアクティブスクリプトが無効になっており、標準設定のOutlook Expressは、この制限付きサイトゾーンを使用するセキュリティ設定になっている。
(2006/03/24 ネットセキュリティニュース)