2006年03月27日(月) 19時30分

IEに未パッチの脆弱性がまた見つかる、許可なしでHTAアプリ実行の恐れ（impress Watch）

　Internet Explorer（IE）に修正プログラム（パッチ）未提供の脆弱性がまた指摘された。デンマークのSecuniaでは27日、この脆弱性の危険度を5段階中で2番目に深刻な“Highly critical”と評価して警告している。

　この脆弱性は、オランダ人プログラマーのJeffrey van dar Stad氏が3月13日に明らかにしたもの。HTA（HTMLアプリケーション）形式のファイルを扱うアプリケーションを処理する際に、IEにおいて詳細不明のエラーが発生することが原因で、悪意のあるサイトにアクセスした場合、ユーザーの許可なしにHTAアプリケーションが実行される恐れがあるという。

　Jeffrey氏は、Windows 2003 Server、Windows XP MCE、Windows XP/98上で動作するIE 6でこの脆弱性を確認した。また、Jeffrey氏がWindows 2000を所有していないため確認できていないが「（Windows 2000でも）まず間違いなく脆弱性はあるだろう」と指摘している。なお、3月20日にリリースされたIE 7 Beta 2のプレビュー版には影響しない。

　現時点でマイクロソフトからのパッチは提供されていない。現時点での回避策は信用できないWebサイトへのアクセスを控えることだ。また、証明されてはいないものの、アクティブスクリプトを無効にすることも効果があるようだ。

　この脆弱性を修正するパッチが4月の月例セキュリティパッチに含まれるかどうかは不明だが、マイクロソフトでは「現在調査を進めているところ」とコメントしている。3月に入ってIEには、このほかにも未パッチの脆弱性が指摘されていた。

関連情報

■URL

　 Secuniaのアドバイザリ（英文）

　 http://secunia.com/advisories/19378/

　 Jeffrey van dar Stad氏のWebサイト（英文）

　 http://jeffrey.vanderstad.net/grasshopper/

■関連記事

・ IEの「createTextRange()メソッド」に深刻な脆弱性、悪質コードに警戒（2006/03/27）

・ IEの危険な脆弱性、マイクロソフトが今後のパッチで対応予定（2006/03/24）

（ 鷹木 創 ）

2006/03/27 19:00

http://headlines.yahoo.co.jp/hl?a=20060327-00000022-imp-sci