MSがIE 7の脆弱性を確認、アドバイザリーを公開

　Internet Explorer（IE）7のゼロデイの脆弱性を突いた攻撃が発生している問題で、米Microsoftがこの情報を確認し、12月10日付でアドバイザリーを公開した。

　Microsoftのこれまでの調査によると、攻撃はWindows XP SP2／SP3、Windows Server 2003 SP1／SP2、Windows Vista／SP1、Windows Server 2008の各OSで実行されているIE 7を狙って仕掛けられていることが分かったという。

　攻撃者は細工を施したWebサイトを開設し、ユーザーをそのサイトにおびき寄せる手口でこの問題を悪用する。正規サイトが改ざんされたり、広告やユーザーがコンテンツを投稿できるサイトが利用される可能性もある。

　SANS Internet Storm Centerによれば、実際にSQLインジェクションを使って正規サイトに不正スクリプトを仕込む攻撃が起きていることが判明。この脆弱性を突いた攻撃は増えているようだという。

　Microsoftのアドバイザリーでは攻撃を避ける方法として、（1）インターネットのセキュリティゾーンを「高」に設定する、（2）アクティブスクリプトの設定で「ダイアログを表示する」または「無効にする」のオプションを選ぶ、(3)DEPを有効にする――という回避策を紹介。ユーザーがこれらの措置を取っていれば、攻撃は成功しないことが確認されたとしている。

　ただしこれらの設定にすると、一部のサイトが適切に機能しなくなるなどの問題も発生する可能性がある。Microsoftは調査を完了後、月例パッチまたは臨時パッチでの脆弱性解決を含め、適切な措置を取るとしている。
IE 7にゼロデイの脆弱性、月例パッチでは未解決
12月のMS月例パッチ公開、既に一部が悪用も
【Internet Explorer 7】に関連する最新記事
【Microsoft（マイクロソフト）】に関連する最新記事
【脆弱性】に関連する最新記事