 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
マイクロソフト、IEのパッチ未提供脆弱性に関するアドバイザリを公開 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
マイクロソフト株式会社は3月24日、Internet Explorer(IE)に存在するパッチ未公開の脆弱性に関して、セキュリティアドバイザリ「917077」を公開した。この脆弱性はIEのメソッド呼び出しに関するもの。同社では、今後のパッチを公開すると表明するとともに、影響を回避するための対応策を説明している。 このアドバイザリによれば、HTMLのオブジェクトに対する特定の予想外のメソッド呼び出しが含まれるWebページを表示する際に、攻撃者によって任意のコードを実行されるような方法で、システムメモリが破損する可能性があり、特に「createTextRange()」メソッドの処理で起きるエラーが原因と見られているという。 マイクロソフトでは、すでにこの脆弱性を悪用する攻撃コードのサンプルを発見しているとのことで、同社は今回の脆弱性の回避策として、インターネットおよびイントラネットゾーンで、1)アクティブスクリプトが実行される前にダイアログを表示する、またはアクティブスクリプトを無効にする、2)ゾーンの設定を「高」にする、の2つを挙げている。 影響を受ける可能性がある環境は、Windows 2000 SP4上のIE 5.01 SP4とIE 6 SP1、Windows XP SP1上のIE 6 SP1、IE 6 for XP SP2、IE 6 for Windows Server 2003/同 SP1、Windows Me/98 SE/98上のIE 6 SP1など。64ビット版Windows XP/Server 2003向けのIE 6も影響を受ける。 なお、現在ベータ版が公開されているInternet Explorer 7 Beta 2 Previewは影響を受けないとのこと。ただし、IE 7はあくまでもベータ版として提供されているもの。利用に際しては注意が必要だ。 ■ URL マイクロソフト株式会社 http://www.microsoft.com/japan/ マイクロソフトセキュリティアドバイザリ(917077) http://www.microsoft.com/japan/technet/security/advisory/917077.mspx
( 石井 一志 )
|
