▼ 2008/12/11(木) Internet Explorer 7 に未修正の重大な欠陥
【Windows】
Internet Explorer 7 (IE7) に重大な欠陥が発見されました。この欠陥を利用したウイルスも登場しています。修正プログラムは現在開発中で、まだ存在しません。
- マイクロソフト セキュリティ アドバイザリ (961051) Internet Explorer の脆弱性によりリモートでコードが実行される (Microsoft)
- IE7の未修正のセキュリティホールへの攻撃を確認(JS_DLOAD.MD) (トレンドマイクロ)
- Exploit-XMLhttp.d (マカフィー)
修正プログラムが配布されるまでは、次の対応を行ってください。
- アンチウイルスソフトウェアのウイルス定義ファイルを最新のものに更新し続けてください。
- IE7 はなるべく使わないようにし、Firefox や Opera、Safari といった、IE7 とは異なる web ブラウザを利用してください。
関連キーワード: Internet Explorer
2008.12.12 追記
この欠陥は、IE7 だけでなく、IE 5.01 / 6 / 8 Beta にも存在することが明らかとなりました。注意してください。
最大の安全性を得るには、上記に加えて以下を実行してください。
- インターネットゾーンにおけるセキュリティレベルを「高」に設定してください。ただし、この設定を行うと、多くのサイトを正常に閲覧できなくなります。また Windows Update や Microsoft Update に失敗するようになるため、「信頼済みサイト」への登録が必要となります。
- OLEDB32.dll を無効に設定してください。
- IE7 を利用している場合で、データ実行防止 (DEP) を有効にできる場合は、有効にしてください。設定できる PC とできない PC とがあります。
いずれについても、設定方法などの詳細は、マイクロソフト セキュリティ アドバイザリ (961051) を参照してください。
2008.12.18 追記
修正プログラムが公開されました。
Microsoft Update や Windows Update、Microsoft Windows Software Update Services などを利用して修正プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。
RINS の複数の機械に修正プログラムをインストールしてみましたが、特に問題は発生していません。
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/0105/tb/