US-CERT(米コンピューター緊急対応チーム)は現地時間13日、Internet Explorer(IE)6/7/8に深刻な脆弱性が存在すると発表した。JPCERTコーディネーションセンターと情報処理推進機構(IPA)も14日、この問題に関する情報を公開している。
この脆弱性が悪用された場合、細工されたWebページにアクセスするだけで、任意のコードが実行されるおそれがある。15日昼の時点で、マイクロソフトからこの問題に関する情報は提供されていない。
US-CERTによると、この脆弱性は、CSS(Cascading Style Sheets)で外部ファイルをインポートする際に使う「@import」において、解放したメモリへのアクセスが発生し、クラッシュを引き起こすというもの。10日に、中国のサイトで実証コードが公開されている。ただし、この脆弱性を悪用する攻撃は今のところ、確認されていない。
この脆弱性を解決するパッチ(セキュリティ更新プログラム)は公開されていないため、以下の回避策を適用するようおすすめする。いずれも、クラッシュは許すがコード実行は防ぐという回避策だ。
(A) DEP(Data Execution Prevention)を有効にする
(B) アクティブスクリプトを無効にする
(C) [インターネット]ゾーンのセキュリティ設定を[高]にする
(A)について。DEPは、IE8ではデフォルトで有効、IE7以前では無効になっている。IE7を利用している場合、[ツール]→[インターネットオプション]→[詳細設定]タブで、[オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする]にチェックを入れると、DEPが有効になる。IE6を使っている場合は、IE8への移行を検討しよう。
(B)と(C)の対策は、簡単に実行できるが、まともに表示できないページが出てくる。
(2010/12/15 ネットセキュリティニュース)
【関連URL】
・Vulnerability Note VU#634956[英文](US-CERT)
http://www.kb.cert.org/vuls/id/634956
・JVNVU#634956 Microsoft Internet Explorer に任意のコードが実行される脆弱性(JVN)
http://jvn.jp/cert/JVNVU634956/index.html
・サポート技術情報875352:データ実行防止(DEP)機能の詳細
http://support.microsoft.com/kb/875352