米国時間の14日(日本時間15日)にマイクロソフト(MS)のアドバイザリが出たばかりだが、その翌日、これまでは知る人が限られていたInternet Exployer(IE)の未修整の脆弱性を突く攻撃コードが、誰でもアクセスできるweb上で公開されてしまった。
この攻撃が悪用されると、年末から続いている一連のサイト改ざん攻撃の被害が拡大する恐れがある。
脆弱性はWindows7を含むすべてのWindowsのIE 6/7/8に影響し、リモートでコードが実行される可能性がある。とくにWindows2000とXPでIE 6を使用している場合の危険性が高い。
現時点で確認されている攻撃コードはIE 6用だけだが、脆弱性はIE 6/7/8とそのコンポーネントを利用しているアプリケーション全てに影響するので、他のバージョンも攻略される危険がある。どのバージョンでも油断せずに、マイクロソフトのアドバイザリに従った対策を速やかに行いたい。ただし、Windows98はサポートが終了している。
●いますぐ実行したい回避策
修正パッチはまだ開発中なので、MSのアドバイザリでは当面の回避策として、インターネットゾーンのセキュリティ設定を「高」に設定にすることと、DEP(データ実行防止機能)を有効にすることを挙げている。マイクロソフト サポート オンラインの「Fix it」を利用すると、DEP を自動的に有効にすることができる。
【解説:2つの回避策】
脆弱性攻撃は、JavaScriptを使って実行コードをメモリ上に展開し、クラッシュさせて実行されるので、IEのJavaScript(設定項目だとアクティブスクリプト)を無効にすれば攻撃が成立しない。MSがアドバイザリで示すようにインターネットゾーンを「高」にすると、IEのJavaScriptは無効になる。
また、クラッシュ時に実行させるコードはデータ領域に置かれるので、データ領域のコード実行を阻止する機能であるDEP(データ実行防止機能)を有効にすると、攻撃が成立しない。MSが用意した「Fix it」を利用すればDEPを有効にすることができる。
(2010/01/19 ネットセキュリティニュース)
■マイクロソフト セキュリティ アドバイザリ (979352)(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx
■マイクロソフト サポート オンライン(マイクロソフト)
http://support.microsoft.com/kb/979352