Microsoftは、悪意のあるハッカーがMicrosoft Video ActiveX Controlに存在する新たな未パッチの脆弱性に対するコード実行攻撃を行っていると警告するアドバイザリを公開した。
この攻撃は現在、MicrosoftのInternet Explorerのユーザーを標的としている。「攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じ権限を取得する可能性があります。Internet Explorer を使用している場合、リモートでコードが実行され、ユーザーの操作を必要としない可能性があります」とMicrosoftは述べている。
(参照:How to use Internet Explorer securely)
同社は次のような手順で、バグのあるActiveX Controlを、互換性問題を生じさせずに安全に取り除くことができると述べている。
マイクロソフトの調査で、この ActiveX コントロールをホストする msvidctl.dll 内のクラス識別子のすべてを含む Internet Explorer の ActiveX コントロールは、既定では使用されないことを確認しています。マイクロソフトは Windows XP および Windows Server 2003 をご使用のお客様に「回避策」のセクションに記載されているすべてのクラス識別子を使用している Internet Explorer 内のこの ActiveX コントロールに対するサポートを削除することを推奨します。Windows Vista および Windows Server 2008 をご使用のお客様はこの脆弱性による影響は受けませんが、多層防御の対策として同様のクラス識別子を使用している Internet Explorer 内のこの ActiveX コントロールに対するサポートを削除することを推奨します。
Internet Explorerユーザーは、Microsoftのアドバイザリに掲載されている「回避策」のセクションに注意を払い、必要なすべての予防措置を取るべきだ。
Microsoftは同社のセキュリティインシデント対応プロセスを始動しているが、パッチは少なくとも数ヶ月間は用意されないだろう。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ