現在地 HOME > 掲示板 > IT4 > 391.html ★阿修羅♪ |
|
Internet Explorer 6に新たな脆弱性--修正用パッチは未発表
米MicrosoftのInternet Explorer(IE)に、新たに複数のセキュリティ脆弱性が見つかった。攻撃者がユーザーのパソコンに侵入する恐れがあるというが、修正パッチはまだ提供されていない。
これらの脆弱性が同時に悪用されると、攻撃者がユーザーのパソコン上で悪質なコードを実行できてしまう、とデンマークのセキュリティ会社Secuniaは警告している。
これらの欠陥は先週、Liu Die Yuという研究者が公開セキュリティ掲示板への投稿で報告したもの。Microsoftの最新のセキュリティアップデートでパッチをあてたシステムにも影響がある模様だ。ユーザーは、パッチが提供されるまでInternet Explorerのアクティブスクリプト機能をオフにするか、IE以外のブラウザを使うよう推奨されている。
アクティブスクリプトをオフにする方法は、 Computer Emergency Response Team のサイトにある。ただし、アクティブスクリプトをオフにすると、一部のサイトが正しく機能しなくなる可能性がある。
欠陥の1つは、クロスサイトスクリプティングの脆弱性で、あるセキュリティドメイン(インターネットなど)から、別のドメイン(「マイコンピュータ」など)のセキュリティ権限でスクリプトを実行できてしまうというものだ。
SecuniaはIE 6でこの欠陥を確認したが、IE 6より古いバージョンのIEも影響を受ける可能性がある、と同社は話している。「他のバージョンもこの脆弱性の影響が及ぶる恐れがある。他のバージョンが(セキュリティ警告に)含まれているのは、こうした欠陥の重大な危険性を考慮したためだ」と同社は声明を出している。
Microsoftは現在この問題を調査中で、問題の深刻度に応じて、月間パッチリリースか、それとは別の形で修正パッチをリリースする可能性がある、と同社は述べている。Microsoftが最も最近リリースした累積月間パッチは、11月12日に発行されている。
関連記事:
「この先も、パッチはずっとなくならない」:マイクロソフト幹部 - 2003年11月13日
「セキュリティ問題は解決可能」--ビル・ゲイツ、株主総会で楽観論 - 2003年11月12日
「月1回のパッチは逆効果?」- 米マイクロソフトの新方針に疑問の声 - 2003年11月12日
米マイクロソフト、セキュリティ問題が業績に打撃 - 2003年10月24日
未修正のIE脆弱性が野放しに:セキュリティ専門家が警告 - 2003年9月30日
米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず - 2003年9月8日
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
海外CNET Networksの記事へ
■CNET Japanニューズレター(無料)
国内外のIT関連ニュースやコラムの新着情報を毎日お届けします。お申し込みはこちら。
[CNET Japan]
http://japan.cnet.com/ (CNET Japan)
[12月1日9時0分更新]
http://headlines.yahoo.co.jp/hl?a=20031201-00000001-cnet-sci