12月月例パッチが公開されるも，3つの未修正の脆弱性が存在する

で紹介したIE 7の脆弱性に関して，Microsoftがアドバイザリを公開した．また，この脆弱性に対する対応策の公表された．それによれば，現時点ではIE 7のみが攻撃対象となっているが，IE 6/5およびIE8 Beta 2においても脆弱性に対する潜在的危険性がある・・とのこと．

　IEの脆弱性は全バージョンに影響、MSがアドバイザリを更新 - INTERNETWatch
　MSがIE 7の脆弱性を確認、アドバイザリーを公開 - ITmedia
　Internet Explorerに対するゼロデイ攻撃広がる - ZDNet
　Internet Explorerの脆弱性に関するアドバイザリ & SQL インジェクション - 日本のセキュリティチーム (Japan Security Team)

この脆弱性はIEのXMLパーサーに存在するもので、悪意のあるWebページをIEで閲覧すると、任意のコードを実行させられる危険がある。既に、この脆弱性を悪用した限定的な攻撃も確認されており、マイクロソフトでは11日にセキュリティアドバイザリを公開。この問題について対処を開始したことを明らかにするとともに、脆弱性の回避策を紹介していた。

　12日に更新されたセキュリティアドバイザリによれば、現時点ではこの脆弱性に対する攻撃はIE7のみとなっているが、脆弱性自体はIE 6/5およびIE8 Beta 2も影響を受ける可能性があるという。

　また、セキュリティアドバイザリではこの問題に対する新たな回避策として、ACL（Access Control List）を使用してOLEDB32.DLLを無効にする方法、OLEDB32.DLLの登録を解除する方法、IE8のデータバインディングサポートを無効にする方法の3点を情報として追加した。
　　　　　IEの脆弱性は全バージョンに影響、MSがアドバイザリを更新 - INTERNETWatchより引用

　Microsoftのアドバイザリーでは攻撃を避ける方法として、（1）インターネットのセキュリティゾーンを「高」に設定する、（2）アクティブスクリプトの設定で「ダイアログを表示する」または「無効にする」のオプションを選ぶ、(3)DEPを有効にする――という回避策を紹介。ユーザーがこれらの措置を取っていれば、攻撃は成功しないことが確認されたとしている。
　　　　　MSがIE 7の脆弱性を確認、アドバイザリーを公開 - ITmediaより引用

　Microsoftでは下記に示す計6つのリスク回避策を提示しており，各ユーザーにおいて影響の少ないものを選んで対策するように推奨している．

• インターネットおよびローカル イントラネット ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトを実行する前にダイアログを表示する
• インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または アクティブ スクリプトを無効にするよう構成する
• Internet Explorer 7 の DEP を有効にする
• ACL を使用して OLEDB32.DLL を無効にする
• OLEDB32.DLL の登録を解除する
• Internet Explorer 8 のデータ バインディング サポートを無効にする

各回避策の設定方法に関しては，

Internet Explorerに対するゼロデイ攻撃広がる - ZDNet

にて詳しく解説されている．その他詳しくは，以前の記事及び上記参考記事を参照して欲しい．

[最終更新日　2008/12/13 18:00]