最初に後悔されたのは3月21日のようなので、報告がだいぶ遅れました。。。
一つは、IEのcreateTextRange()というメソッド(操作)でエラーが発生する物で、ほんの数行のプログラムでIEがクラッシュしてしまいます。その際にプログラムを実行出来るため、スパイウェアなどを勝手にインストールさせる事が出来ます。
26日時点で200に及ぶ悪用サイトが発生しているそうです。十分に注意する必要があるようです。
もう一つは、HTA(HTMLアプリケーション)ファイルを実行時に詳細不明なエラーが発生して、悪用しているサイトに訪れるだけで勝手に悪意のあるプログラムを実行される可能性があります。
- マイクロソフト、IE用パッチの即時リリースを検討--悪質なコードの流出に対応 (CNET Japan)
- IEの危険な脆弱性、マイクロソフトが今後のパッチで対応予定 (INTERNET Watch)
- IEに未パッチの脆弱性がまた見つかる、許可なしでHTAアプリ実行の恐れ (INTERNET Watch)
- IEの「createTextRange()メソッド」に深刻な脆弱性、悪質コードに警戒 (INTERNET Watch)
- 『IE』にまた脆弱性、Microsoft がパッチを準備中 (Japan.internet.com)
- 『IE』に存在する未対応の脆弱性を狙い、早くも攻撃が始まる (Japan.internet.com)
- IE 6とIE 7でにセキュリティ・ホール,MSは修正パッチを作成中 (ITpro)
- IEのパッチ未公開ホールを突くWebサイトが続出,スパイウエアを勝手にインストール (ITpro)
- IEにまた新たな脆弱性 (ITmedia)
両方とも非常に悪質ですが、IE6や以前のバージョン、IE7ベータ1に影響する上に、パッチはまだ未公開です。IE系の人はかなり危険な状態と言えます。暫く、行動を自重しましょうね!!
新しく出たIE7ベータ2は影響でないそうですが、他の脆弱性の影響が出る可能性も否定出来ませんので、私はあまりお勧めしません。
対応策は、IEのActiveScriptの無効化、または、IEを使わずにFirefoxやOperaを使用するとなります。
ActiveScriptの無効化の方法は、IEの「ツール→インターネットオプション→セキュリティ→インターネット→レベルのカスタマイズ→スクリプト→アクティブ スクリプト」で、「無効にする」か「ダイアログを表示する」を選択します。同様に、「ツール→インターネットオプション→セキュリティ→イントラネット→レベルのカスタマイズ→スクリプト→アクティブ スクリプト」で、「無効にする」か「ダイアログを表示する」を選択します。
この設定の間はまともにJavaScript等が動かないため、不便になりますので、Firefox等を使っていた方がいいかも。
FirefoxやOperaはコチラから!
対応パッチは4月の月例パッチの予定らしく、日本は約2週間後の4月12日水曜日になりそうです。
大きな問題となっているため、去年末の「WMFファイル脆弱性の未公認パッチ」のように未公認パッチが出る可能性もありそうです。
ホントにMicrosoftは4月の月例パッチまで待つのでしょうか。。。この状況、かなり危険だと思うんですけど・・・。とにかく、ウイルス対策ソフトの定義ファイルは最新にしましょうね!
また、既にスパイウェアなどをインストールされている可能性もあります。
スパイウェア対策ソフトを未インストールの場合は、フリーのスパイウェアチェックソフトの「Spybot - Search & Destroy」や「Ad-Aware」をインストールしてチェックする事をお勧めします。基本はチェックソフトなので、リアルタイムにスパイウェアの検知が出来るわけではありません。
Spybot - Search & Destroyは、「Immunize - 免疫」の免疫で、スパイウェア等のインストールをブロックする事が出来ます。少しでも可能性を減らすために、実行しておくと安心度が増えますよ!
【私の記事】
- フリーのウィルス対策とファイアウォール (05/08/04):フリーでも対策できます
- 新しいOSとブラウザにして欲しいかな (05/10/09):古いOSを使い続けてません?
- ウイルスやスパイウェアは多いんです (05/10/13):フリーのウイルス対策やファイアウォールをリストアップ
- 今のネット犯罪はお金です (06/02/07):どうしてセキュリティ?
またツールにバージョンに対策したかった。