マイクロソフトは2日、Internet Explorer(IE) で動作するVBScript(ブイビースクリプト)に新たな脆弱性が指摘され調査中であるとして、アドバイザリ (981169)を公開した。
この脆弱性の影響を受けるのは、Windows 2000/XP、およびWindows Server 2003上のIE。Windows Server 2003 では、IEのセキュリティレベルが規定値のままであれば問題が緩和される。Windows 7/Vista、およびWindows Server 2008 R2/2008 上のIEは、影響を受けない。
現時点では、この脆弱性に対する実際の攻撃や、ユーザーが影響を受けたという報告は確認されていないという。
アドバイザリによると、この脆弱性は、IE使用時の、VBScript と Windows Help ファイルの相互作用に存在する。具体的には、ユーザーがIEで悪意ある Web サイトを閲覧し、細工されたダイアログボックスが表示された際に「F1」キーを押すと、任意のコードが実行される可能性がある。
マイクロソフトはこの脆弱性の詳細について調査中であり、調査が完了しだい月例リリース、または定例外リリースで更新プログラムを提供する。その間の回避策として次の4つを推奨している。
(1) Web サイトで表示された際に、「F1」キーを押さない
(2) Windows ヘルプへのアクセスを制限する
(3) インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」にし、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックする
(4) インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように IEを構成する、または アクティブ スクリプトを無効にするよう構成する
上記の実行に必要な設定手順のほか、回避策を行った場合の影響とその対策についても説明されている。
【関連URL】
・マイクロソフト セキュリティ アドバイザリ (981169)
VBScript の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/981169.mspx
(2010/03/03 ネットセキュリティニュース)