Internet Explorerの脆弱性に関するマイクロソフトセキュリティアドバイザリ

マイクロソフトの月曜日の夜には、Internet Explorerを対象としたゼロデイ攻撃に対処するためのガイダンスと回避策を顧客に提供するセキュリティ勧告が発行された。

同社はこの日の早い段階で、誰かがBugtraqメーリングリストに悪用コードを公開した週末に現れました。月曜日の夜までに、マイクロソフトはギアを切り替えて、アドバイザリーを発行しました。

マイクロソフトはセキュリティアドバイザリ977981をリリースしました。これには、リモートでコードが実行される可能性のあるカスケードスタイルシートの欠陥を明らかにする問題の回避策が含まれています。

[その他の情報：Windows PCからマルウェアを削除する方法]

この脆弱性により、この脆弱性がWindows 2000 Service Pack 4のIE 6に影響することが確認されています。 XP、Vista、Windows Server 2003、およびWindows Server 2008のサポートされているエディションではIE 6とIE 7が含まれています。Microsoftは、Vista上でIE 7を実行しているユーザーは、脆弱性の影響を制限するためにブラウザを保護モードで実行するよう設定できます。また、攻撃から守るために、インターネットゾーンのセキュリティ設定を "高"に設定することを推奨しました。

マイクロソフトは、サポートされているすべてのバージョンのWindowsのIE 5.01 Service Pack 4およびIE 8は影響を受けないと述べています。

攻撃が機能するためには、ハッカーはまず被害者に脆弱性コードをホストしているWebサイトを訪問させる必要があります。これは、ハッカー自身が設定した悪質なWebサイトでも、ユーザーがコンテンツをアップロードできるサイトでもかまいません。

サイバー犯罪者がこの種の攻撃を開始したもう一つの方法は、正当なWebサイトをハッキングすることです。今週の初めに、市民バンドラジオベンダーのCobra Electronicsは、6月にハッキングされたことを明らかにした。これはおそらく、サイトを使って顧客にマルウェアをダウンロードしたプロのハッカーである可能性が高い。 IDC News ServiceのRobert McMillanがこのレポートに寄稿しました。