記事登録
2008年12月15日(月) 08時55分

IEの未解決の脆弱性は全バージョンに影響ITmediaエンタープライズ

 Internet Explorer(IE)7の脆弱性を突いたゼロデイ攻撃が発生している問題で、米Microsoftは12月13日付でアドバイザリーを更新し、脆弱性の影響がIE 7だけでなくIEの全バージョンに及ぶことを明らかにした。

 Microsoftによると、この脆弱性を突いた攻撃は、現時点で確認されている限りではIE 7のみが標的となっている。しかし脆弱性はIE 7のほか、IE 5.01 SP4、IE 6/SP1、IE 8 β2にも存在し、サポート対象の全Windowsが影響を受ける可能性があるという。

 脆弱性は、IEのDHTMLデータバインディング処理方法に関するメモリ破損問題に起因し、悪質なHTMLを使って悪用される恐れがある。

 アドバイザリーでは回避策の選択肢を9項目に増やした。しかしデータバインディングを無効にできるオプションがあるのはIE 8のみ。それ以外のバージョンで攻撃をかわすためには、OLEDB経由でMSHTML.dllにある問題のコードにアクセスできなくするか、この脆弱性に対して最も高いセキュリティ設定にする必要があるという。

 ただしこうした措置をとった場合、一部サイトが正しく機能しなくなるなどの問題が起きる可能性もある。

【関連記事】
→ 「Internet Explorer」 最新記事一覧
→ 「脆弱性」 最新記事一覧
→ 「IE 8」 最新記事一覧
MSがIE 7の脆弱性を確認、アドバイザリーを公開
IE 7にゼロデイの脆弱性、月例パッチでは未解決

http://headlines.yahoo.co.jp/hl?a=20081215-00000004-zdn_ep-sci