futuremix

今日は Windows Update で 7 種類のパッチがリリースされましたが、すべてを適用しても Internet Explorer は安全に利用できません。

IT Pro ニュースや、INTERNET Watch の記事 によると、IE 5.01～6 に、かなり危険な4種類の脆弱性が「新たに」発見されました。これらの欠陥はパッチ未公開です。本日の Windows Update でも修正されません。

脆弱性の中身については、次の通り。

1. function のリダイレクトにより、セキュリティの制限を回避して任意のコードが実行されるというもので非常に危険。対策としてはアクティブスクリプトを無効にするしかありません。(CAN-2004-0727)
2. 細工のあるページでリンクをクリックすると、ドラッグアンドドロップの操作が実行されてしまい、たとえばブックマークが勝手に追加されたり、危険なファイルをダウンロードさせられる可能性があります。(CAN-2004-0841)
3. IE のチャンネル（って使っている人はいるのでしょうか）をブックマークする際に、任意のコードが実行させられる。
4. 「ファイルのダウンロード」ダイアログ上に枠のないポップアップウィンドウを表示させることにより、ダイアログボックスを偽装できる欠陥。騙されて悪質なファイルを実行してしまう危険性があります。アクティブスクリプトを無効にすれば回避可能。(関連記事)

また、これとは別に、IE に巨大なテキストファイルを表示するとクラッシュする脆弱性が見つかっています。サンプルの4Mバイトの”1″だけが書かれたテキストファイルを開いたところ、CPU使用率100% の状態でフリーズしてしまいました。いわゆる「ブラクラ」に利用される可能性が極めて高いと思われます。同じファイルを Firefox 0.9.2 で開いた場合は問題ありませんでした。

Windows を利用している場合は、最新のパッチをすべて適用した上で、IE のアクティブスクリプトを無効にし、IE 以外のウェブブラウザを使わない限り、安心してウェブを利用することはできないでしょう。（再度 Windows Update 時には一時的にアクティブスクリプトを有効にする必要があります。）Opera の日本語版は 7.23 とバージョンが古く、アドレスバーが偽装される複数の欠陥が残ったままです。現時点では、Firefox 0.9.2 が一番安全だと思われますので Firefox の利用をオススメします。

まとめ

• Internet Explorer は利用しない
• Windows Update を行なった上で、アクティブスクリプトを無効にする。
• Firefox 0.9.2 を使うのが現時点で一番安全。

10月13日追記

MS04-038 の修正で、CAN-2004-0727、CAN-2004-0841 ともに修正されているとのこと。たの欠陥については未確認です。