Internet Explorer(IE)に任意のコードが実行されるVBScriptの脆弱性

Tweet

マイクロソフト社は3月2日、Internet Explorer(IE)に影響する新たな脆弱性が発見されたとしてセキュリティ アドバイザリ(981169)を公開した。

アドバイザリによると、この脆弱性の影響を受けるのは、Windows 2000、XP、およびWindows Server 2003で動作するIE。IE上で動作するスクリプト言語であるVBScriptとWindows Helpファイルの相互作用に脆弱性が存在し、ユーザーが悪意あるWebサイトを閲覧し、細工されたダイアログボックスが表示されたときに、「F1」キーを押すと任意のコードが実行される可能性があるというものだ。

マイクロソフト社によると、3月12日現在、この脆弱性を悪用した攻撃は確認されていないとのこと。なお、Windows 7、Windows Server 2008 R2、Vista、およびWindows Server 2008 上のIEはこの脆弱性の影響を受けないという。

マイクロソフト社は脆弱性の詳細について調査中であり、調査の完了時に更新プログラムをリリースすると発表している。アドバイザリによれば、複数の回避方法が案内されているが、以下の1点だけは回避策として必ず守って欲しい。

・Webサイト閲覧中には、「F1」キーを押さない

また、その他の回避方法についてはアドバイザリを確認して欲しい。

・マイクロソフト セキュリティ アドバイザリ (981169)
・［F1］キーを押さないで！---Windowsに新たな脆弱性(ITpro)
・IEで閲覧中に「F1」キーを押すとコード実行のおそれ〜MSがアドバイザリ(so-netセキュリティ通信)