Microsoftのセキュリティレスポンスチームは、同社の主力ブラウザInternet Explorerに存在する、潜在的に危険なコードの実行につながる脆弱性の報告について調査している。
同社は、攻撃者が悪意を持って作成されたウェブページを用意すると、ユーザーにそのページを閲覧させることに成功し、ポップアップしたダイアログボックスに対してF1を押させることができれば、任意のコードを実行できると警告している。
MicrosoftのJerry Bryant氏は、同社はこの脆弱性に関連する攻撃が出回っているとは承知していないとMSRCブログで述べている。
Bryant氏は「われわれは、Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows Vistaを使用しているユーザーは、この問題の影響を受けないと判断した」と述べている。
MSRCブログには次のようにある。
争点となっている問題には、Internet ExplorerによるVBScriptとWindowsヘルプファイルの使用が関係している。Windowsヘルプファイルは、われわれが「安全ではないファイルタイプ」と読んでいる長いリストに含まれている。これらのファイルタイプは、ファイルの通常の使用中に自動的にアクションを起こすように設計されているものだ。これらは非常に価値ある生産性ツールになり得るが、攻撃者によってシステムを攻撃するのに使用される場合もある。
本稿執筆後、Microsoftによるセキュリティアドバイザリが公開された。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
