ISSが無償対策ツールを配布、IEの脆弱性未対応を「非常に憂慮」

2006/3/31

 インターネット セキュリティ システムズ(ISS)は3月30日、Internet Explorerの既知の脆弱性で、マイクロソフトが修正パッチを配布していないセキュリティホールへの攻撃をブロックする製品の評価版を、無償で配布すると発表した。ISSは「公式なセキュリティパッチがリリースされていない状態で当該脆弱性を悪用するコードが出現した現状を非常に憂慮すべき事態と判断」したとしている。

 発見されたのはcreateTextRange() メソッドの不適切な処理に関する脆弱性。createTextRange() メソッドの処理が正しく行われないことで、メモリ内の予測可能な位置で呼び出しが行われるようになり、攻撃者はメモリ内に不正なコードを埋め込み、実行させることができる。

 ISSは「この脆弱性を悪用した攻撃コードを埋め込んだWebコンテンツを閲覧するだけで、大変深刻な影響をクライアントPCに与える危険性を確認している」と指摘。フィッシングメールでユーザーを誘い出す、HTMLメールを埋め込むなどの形で攻撃がある可能性があるとしている。すでにこの脆弱性を悪用したWebサイトが出現している。

 マイクロソフトはこの脆弱性について3月24日、「セキュリティ アドバイザリ (917077)」を発表した。脆弱性を修正するセキュリティパッチについては「2006年4月12日の月例のリリースの一部として、または、お客様を保護するためにより早く公開する予定」としている。

 ISSが無償配布するのは企業クライアント向けの「RealSecure Desktop Protector」の評価版。同製品はIPS(不正侵入防御機能)とパーソナルファイアウォール機能があり、脆弱性を悪用したWebサイトにアクセスしても、危険な通信を自動遮断し、攻撃をブロックする。配布は3月30日から4月30日まで。利用は4月30日まで可能。同社Webサイトからダウンロードする。

(@IT 垣内郁栄)

[関連リンク]
インターネット セキュリティ システムズ

[関連記事]
ネットで検証、パッチなしのWindows 2000は1時間強で侵入される (@ITNews)
ISS、同社製品でWinnyの通信を検知できるように (@ITNews)
Windows WMF脆弱性に対し、2つ目の非公式パッチ公開 (@ITNews)
Windows Vistaで語るべき、3つのセキュリティ機能 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -