マイクロソフトは木曜日、Internet Explorer 7 で発見された未修正の脆弱性が、同ブラウザの最新ベータ版だけでなく旧バージョンにも影響を及ぼすと警告した。
この新たな情報により、Microsoft がまだパッチを用意していないため、PC に https://www.pcworld.com/article/id,155341/article.html?tk=rel_news がインストールされる危険にさらされる可能性のあるユーザーのプールが拡大しました。
マイクロソフトは木曜日に更新された勧告の中で、Windows オペレーティング システムの全バージョン上の IE 5.01 (Service Pack 4 適用済み)、IE6 (Service Pack 1 適用済みおよび未適用)、および IE8 ベータ 2 が潜在的に脆弱であることを確認した。
また、Windows XP Service Pack 2 および 3、Windows Server 2003 Service Pack 1 および 2、Service Pack 1 適用済みおよび未適用の Windows Vista、および Windows Server 2008 で IE7 を実行しているユーザーも脆弱です。
同社は、コンピューターセキュリティ企業からの矛盾した報告を受けて、ブラウザの問題点を明らかにした。
アドバイザリによると、「この脆弱性は、Internet Explorer のデータバインディング機能における無効なポインタ参照として存在します」とのことです。「データバインディングが有効になっている場合(デフォルトの状態)、特定の条件下では、配列の長さを更新せずにオブジェクトが解放され、削除されたオブジェクトのメモリ領域にアクセスできる可能性があります。これにより、Internet Explorer が予期せず終了し、悪用可能な状態になる可能性があります。」
マイクロソフトは、IE7の脆弱性を狙った攻撃は限定的だと述べている。しかし、セキュリティアナリストは、この脆弱性を悪用するウェブサイトの構築が増加しているようだと指摘している。
この問題は特に深刻で、ユーザーがウェブサイトを閲覧するだけで、トロイの木馬プログラムがマシンに自動的にダウンロードされてしまうケースがあります。ハッカーは、このプログラムに他の不正なソフトウェアをダウンロードさせ、スパム送信やデータの窃盗といった行為を実行させる可能性があります。
マイクロソフトはアドバイザリの中で、使用しているブラウザとオペレーティングシステムのバージョンに応じて、被害に遭う可能性を軽減するためのいくつかの方法を示しました。しかし、現時点で確実な解決策は、マイクロソフトが修正するまで別のブラウザを使用することです。
Microsoftは定期的にパッチをリリースしていますが(https://www.pcworld.com/article/id,155253/article.html?tk=rel_news)、脅威が深刻であると判断された場合は、いわゆるアウトオブバンドパッチをリリースすることが知られています。Microsoftは、アウトオブバンドパッチをリリースするかどうかについては明言しておらず、修正プログラムをそのままリリースする傾向があります。
次回の予定パッチ日は1月13日である。つまり、マイクロソフトがその日にこの脆弱性に対するパッチをリリースする予定であれば、攻撃者は少なくとも1か月かけてできるだけ多くのコンピューターを感染させることが可能となる。
この脆弱性に関する情報は、中国地域で初めて登場しました。中国のセキュリティ企業knownsecは、今年初めにアンダーグラウンドの犯罪市場でコードが流通しているという噂を聞いたと述べています。エクスプロイトコードは一時、1万5000ドルで売買されていたと考えられています。
ソフトウェアの脆弱性は、その欠陥を利用してクレジットカード情報やその他の金融データを盗むことができるため、サイバー犯罪者にとって非常に価値があります。
過去数年間、マイクロソフトはコンピューターセキュリティに関する実績の向上を誇ってきたが、古いソフトウェアに新たなバグが発見されるという重荷を依然として背負ってきた。
