Internet Explorer(IE)の未修整の脆弱性を証明する実証コードが、日本時間21日、セキュリティ関係のメーリングリストに投稿され、セキュリティ機関やベンダーが注意を呼び掛けている。マイクロソフトも24日、この問題に関するセキュリティアドバイザリを公開した。
今回見つかった脆弱性は、IEが無効なポインタを参照してしまう問題。JavaScriptを使って削除されたスタイルシートオブジェクトにアクセスすると、クラッシュしたり任意のコードが実行されるおそれがあり、悪用されると細工したWebページを閲覧するだけで、ウイルスに感染してしまう危険がある。
影響するのはIE 6およびIE 7で、IE 8は影響を受けない。公開された電卓を起動する実証コードは、ただちに攻撃に転用できるほど安定しておらず、これまでのところ、この脆弱性を悪用した攻撃は確認されていないという。が、いつ完全攻略した攻撃コードが出回ってもおかしくない状況にあり、注意が必要だ。
IE 6/7を使用中のユーザーでIE 8にアップデート可能な方は、この機会にIE 8に移行することをお勧めする。何らかの事情でIE 6/7を使い続けなければいけない方は、インターネットオプションのセキュリティ設定で、インターネットゾーンのセキュリティレベルを「高」にし、アクティブスクリプトを無効にする。マイクロソフトのアドバイザリでは、IEのデータ実行防止(DEP)機能も有効な回避策になるとしており、下記「サポート技術資料977981」で、DEPを有効/無効にする自働修正ツール「Fix it」を提供している。
(2009/11/24 ネットセキュリティニュース)
■マイクロソフトセキュリティアドバイザリ (977981)
http://www.microsoft.com/japan/technet/security/advisory/977981.mspx
■サポート技術資料977981(マイクロソフト)
http://support.microsoft.com/kb/977981
■各社のリリース(英文)
・Zero-Day Internet Explorer Exploit Published(Symantec)
http://www.symantec.com/connect/blogs/zero-day-internet-explorer-exploit-published
・Internet Explorer Vulnerability Exploit Detected(TrendLabs Malware Blog)
http://blog.trendmicro.com/internet-explorer-vulnerability-exploit-detected/
・Internet Explorer Layout Handling Memory Corruption Vulnerability(Secunia)
http://secunia.com/advisories/37448/2/
・Microsoft Internet Explorer CSS Handling Code Execution Vulnerability (0day) (VUPEN Security)
http://www.vupen.com/english/advisories/2009/3301
・Microsoft Internet Explorer 'Style' Object Remote Code Execution Vulnerability (SecurityFocus)
http://www.securityfocus.com/bid/37085