情報処理推進機構(IPA)は、マイクロソフトが10日にリリースした月例パッチの脆弱性を利用した実証コードが確認されたとして、注意を呼びかけている。
今回確認されたのは、Microsoft Windows に実装された Vector Markup Language(VML)の脆弱性を突いた攻撃コード。脆弱性を修正しないまま、仕掛けが施されたページを Internet Explorer(IE)で開くと、任意のプログラムを強制的にダウンロード、実行させられる。また、仕掛けが施されたHTML 形式メール本文を表示するだけでも、同様に、任意のプログラムを強制的にダウンロード、実行させられるおそれがある。
マイクロソフトでは、最大深刻度を「緊急」レベルとし、ユーザーに直ちに最新版のパッチを適用するよう促している。影響を受けるのは、Windows Vista 以外の Windows全バージョン。ブラウザを最新版のIE7にしている場合もこの対象に含まれる。
(2007/01/23 ネットセキュリティニュース)
■Microsoft Windows に実装された VML の脆弱性(MS07-004)について(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20070118-ms07-004.html
■Vector Markup Language の脆弱性により、リモートでコードが実行される (929969) (MS07-004)(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-004.mspx
■EXPL_EXECOD.C(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=EXPL%5FEXECOD%2EC&VSect=P
■Microsoft Windows Vector Markup Language Vulnerabilities(2007/01/16)[英文]Secunia
http://secunia.com/advisories/23677
■Microsoft Windows Vector Markup Language Code Execution Vulnerability (MS07-004)[英文]FrSIRT
http://www.frsirt.com/english/advisories/2007/0105