2006年03月28日

IEで深刻な脆弱性が同時2つ

IEをクラッシュ、スパイウェアを実行させる事が出来る脆弱性と、悪質なプログラムを実行出来る脆弱性がほぼ同時に発生しました。
最初に後悔されたのは3月21日のようなので、報告がだいぶ遅れました。。。

一つは、IEのcreateTextRange()というメソッド(操作)でエラーが発生する物で、ほんの数行のプログラムでIEがクラッシュしてしまいます。その際にプログラムを実行出来るため、スパイウェアなどを勝手にインストールさせる事が出来ます。

26日時点で200に及ぶ悪用サイトが発生しているそうです。十分に注意する必要があるようです。


もう一つは、HTA(HTMLアプリケーション)ファイルを実行時に詳細不明なエラーが発生して、悪用しているサイトに訪れるだけで勝手に悪意のあるプログラムを実行される可能性があります。

両方とも非常に悪質ですが、IE6や以前のバージョン、IE7ベータ1に影響する上に、パッチはまだ未公開です。IE系の人はかなり危険な状態と言えます。暫く、行動を自重しましょうね!!
新しく出たIE7ベータ2は影響でないそうですが、他の脆弱性の影響が出る可能性も否定出来ませんので、私はあまりお勧めしません。


対応策は、IEのActiveScriptの無効化、または、IEを使わずにFirefoxやOperaを使用するとなります。

ActiveScriptの無効化の方法は、IEの「ツール→インターネットオプション→セキュリティ→インターネット→レベルのカスタマイズ→スクリプト→アクティブ スクリプト」で、「無効にする」か「ダイアログを表示する」を選択します。同様に、「ツール→インターネットオプション→セキュリティ→イントラネット→レベルのカスタマイズ→スクリプト→アクティブ スクリプト」で、「無効にする」か「ダイアログを表示する」を選択します。
この設定の間はまともにJavaScript等が動かないため、不便になりますので、Firefox等を使っていた方がいいかも。

FirefoxやOperaはコチラから!
Get FirefoxOpera - The Fastest Browser on Earth


対応パッチは4月の月例パッチの予定らしく、日本は約2週間後の4月12日水曜日になりそうです。
大きな問題となっているため、去年末の「WMFファイル脆弱性の未公認パッチ」のように未公認パッチが出る可能性もありそうです。

ホントにMicrosoftは4月の月例パッチまで待つのでしょうか。。。この状況、かなり危険だと思うんですけど・・・。とにかく、ウイルス対策ソフトの定義ファイルは最新にしましょうね!


また、既にスパイウェアなどをインストールされている可能性もあります。
スパイウェア対策ソフトを未インストールの場合は、フリーのスパイウェアチェックソフトの「Spybot - Search & Destroy」や「Ad-Aware」をインストールしてチェックする事をお勧めします。基本はチェックソフトなので、リアルタイムにスパイウェアの検知が出来るわけではありません。

Spybot - Search & Destroyは、「Immunize - 免疫」の免疫で、スパイウェア等のインストールをブロックする事が出来ます。少しでも可能性を減らすために、実行しておくと安心度が増えますよ!
Spybot 免疫化


【私の記事】
この記事へのコメント
きょうトロは、インストールは存在したいなぁ。
またツールにバージョンに対策したかった。
Posted by BlogPetのトロ at 2006年04月02日 17:17
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※半角英数字のみのコメントは投稿できません。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。