ハッカーが、Microsoft の Internet Explorer ブラウザの古いバージョンを実行している PC に侵入するのに使用できる攻撃コードを公開しました。
このコードは金曜日、正体不明のハッカーによってBugtraqメーリングリストに投稿されました。セキュリティベンダーのシマンテックによると、このコードは必ずしも正常に動作するとは限らず、被害者のコンピュータに不正なソフトウェアをインストールするために悪用される可能性があるとのことです。
「シマンテックはさらなるテストを実施し、Internet Explorerバージョン6および7に影響を与えることを確認しました」と、同社は土曜日にウェブサイトに掲載した。「近い将来、完全に機能する信頼性の高いエクスプロイトが公開される予定です。」
セキュリティコンサルタント企業のVupen Securityも、この攻撃がWindows XP Service Pack 3でIE 6またはIE 7を実行しているシステムで機能したことを確認したと述べている。両社とも、Microsoftの最新ブラウザであるIE 8でこの攻撃が機能したかどうかは確認できていない。
シマンテックは、この攻撃がサイバー犯罪者に利用されているとは報告していないが、Internet Explorerは非常に普及しているため、この種のコードはハッカーにとって非常に魅力的である。もしこのソフトウェアがオンライン攻撃で実際に利用された場合、マイクロソフトは12月8日に予定されている定期セキュリティアップデートに先立ち、緊急パッチを急いでリリースするよう圧力を受けることになるだろう。この問題について、土曜日にマイクロソフトにコメントを求めたが、回答は得られなかった。
IE 6 と IE 7 を合わせると、ブラウザ市場の 40 パーセント近くを占めます。
この脆弱性は、Internet Explorerが特定のカスケーディングスタイルシート(CSS)オブジェクトを取得する方法に存在します。CSSは、Webページの標準レイアウトを作成するために使用されるものです。シマンテックによると、この攻撃が成功するには、ハッカーは悪意のあるJavaScriptを含んだWebページにユーザーを誘導する必要があります。この手法は近年、ハッカーがコンピュータに悪質なソフトウェアをインストールする際によく利用されるようになりました。
「この問題の影響を受ける可能性を最小限に抑えるには、Internet Explorer ユーザーは、ウイルス対策定義が最新であることを確認し、JavaScript を無効にし、Microsoft から修正プログラムが提供されるまでは信頼できる Web サイトのみにアクセスする必要があります」とシマンテックは述べています。
