NEWS(10/12/24 15:15)

マイクロソフト、IE6/7/8のCSS脆弱性に関するセキュリティアドバイザリを公開

IE7以降の標準設定ならば影響は限定的、それ以外の環境では各自対応策を

 マイクロソフト(株)は24日、「Internet Explorer」のCSS処理に関わる未修正の脆弱性についてのセキュリティアドバイザリを公開した。本脆弱性は、14日に一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)によって存在が公表されている。

 本脆弱性は、IEでCSSを処理する際に初期化されていないメモリが作成されてしまうというもので、IE6/7/8に影響する。本脆弱性が悪用されると、細工されたWebページを閲覧しただけでリモートから任意のコードが実行されてしまう恐れがある。同社によると、現時点で本脆弱性を悪用した攻撃は確認されていない。

 なお、IE7以降では標準で“保護モード”がONになっているおり、本脆弱性の影響は軽減されるとのこと。それ以外の環境では、導入するだけで各種設定を調整して脆弱性を緩和できるセキュリティツール「Enhanced Mitigation Experience Toolkit(EMET)」を導入する、“インターネットオプション”の[セキュリティ]タブにある“インターネット”ゾーンのセキュリティ設定を“高”にする、“アクティブ スクリプト”をOFFにするといった対策を講じることで、本脆弱性の影響を軽減できる。設定方法については、下記リンクにある弊誌記事を参照してほしい。

(柳 英俊)