IEの未修正のセキュリティ・ホールを突くWebサイトが続出しているとして、マイクロソフトからアドバイザリが出されている。
この欠陥を突く細工を施したWebサイトにInternet Explorerでアクセスすると、スパイウエアやボット、トロイの木馬、バックドアなどを知らぬ間にインストールされてしまう危険性がある。
問題の本質は3月23日に公開された「createTextRange()メソッドの脆弱性」で、詳細はInternet Watchの記事が詳しい。
修正プログラムがリリースされていない現状において、我々ユーザーサイドが取るべき最も基本的な対処としては「信頼できないサイトへアクセスしない事」は言うまでも無いが、技術的な観点からは「アクティブスクリプトを無効にする事」が望ましい。
アクティブスクリプトの無効はサポート技術情報 154036を参照してオプション設定を変更すれば良いのだが、アクティブスクリプトを無効にするとまともに見られないサイトが多くて使い物にならないかもしれない。ま、いろんな意味でもっとも手っ取り早いのは「Internet Explorer以外のブラウザを使用する事」かもしれない。
【参照】
●日経ITPro http://itpro.nikkeibp.co.jp/
┣IEにパッチ未公開のセキュリティ・ホール,怪しいサイトへは近づくな 2006年3月23日
┣IEのパッチ未公開ホールを突くプログラムが出現,MSは回避策を公表 2006年3月24日
┣IEのパッチ未公開ホールを突くWebサイトが続出,スパイウエアを勝手にインストール 2006年3月27日
┣「IEのパッチは,できるだけ早く公開する」---米MSのセキュリティ・チーム 2006年3月27日
┣米eEyeなどがIEの“暫定”パッチを公開,セキュリティ組織は「推奨しない」 2006年3月28日
┗「スパイウエアか“浮気検出ソフト”か」---携帯電話から通話記録を盗むプログラム 2006年3月30日
●INTERNET Watch http://internet.watch.impress.co.jp/
┗IEの「createTextRange()メソッド」に深刻な脆弱性、悪質コードに警戒 2006年3月27日
●Microsoft TechNet: セキュリティ センター http://www.microsoft.com/japan/technet/security/
┗マイクロソフト セキュリティ アドバイザリ (917077) HTML のオブジェクトが予期しないメソッド呼び出しを処理する方法の脆弱性により,リモートでコードが実行される 2006年3月30日
★サポート技術情報 154036 Internet Explorer のアクティブ コンテンツを無効にする方法