べいマイクロソフトは2007ねん10がつ10日とおか米国べいこく時間じかん)、Internet Explorer 7(IE7)をインストールしたWindows XPおよびWindows Server 2003の環境かんきょうには、危険きけん脆弱ぜいじゃく(ぜいじゃく)せい存在そんざいすることをあきらかにした。細工ざいくほどこされたリンク(URL)をクリックしたり、悪質あくしつなWebページやファイルをひらいたりするだけで被害ひがいおそれがある。修正しゅうせいパッチ(セキュリティ更新こうしんプログラム)は公開こうかい

 今回こんかい脆弱ぜいじゃくせいは、URLの処理しょりかんするもの。細工ざいくほどこされたURLをむと、URLにふくまれるコマンド(プログラム)などを実行じっこうしてしまう。そういったURLがふくまれるWebページやファイルをひらくだけでも、悪質あくしつなコマンドを実行じっこうされて被害ひがい危険きけんせいがある。

 本来ほんらい、IEおよびWindowsにはチェック機構きこうがあり、URLにふくまれるコマンドを実行じっこうすることはない。IE6を使つかっている場合ばあいや、IE7とWindows Vistaのわせには今回こんかい脆弱ぜいじゃくせい存在そんざいしない。しかし、IE7をWindows XPなどにインストールすると、Windows XPなどのコンポーネントに修整しゅうせいくわわり、チェック機構きこう適切てきせつはたらかなくなる。これが、今回こんかい脆弱ぜいじゃくせいである。

 URLをむアプリケーションのなかには、Windowsにわたまえにチェックして、不正ふせいなURLはWindowsにわたさないものも存在そんざいする。そういったアプリケーションをつうじては、今回こんかい脆弱ぜいじゃくせい悪用あくようすることはできない。

 しかしながら、チェックをしない、あるいはチェックが不十分ふじゅうぶん場合ばあいには、そのアプリケーション経由けいゆで、悪質あくしつなURLがWindowsにわたされる場合ばあいがある。セキュリティベンダーであるデンマークのセキュニアによれば、以下いかのアプリケーションが該当がいとうするという。

  • Firefox 2.0.0.5
  • Netscape Navigator 9.0b2
  • mIRC 6.3
  • Adobe Reader/Acrobat 8.1およびそれ以前いぜん
  • Outlook Express 6
  • Outlook 2000

 たとえばAdobe Reader/Acrobatでは、細工ざいくほどこされたURLをふくむPDFファイルをひらくだけで、なか仕込しこまれた悪質あくしつなコマンドを実行じっこうされるおそれがある。この問題もんだいでは、「不正ふせいなURLをWindowsにわたしてしまうこと」が、Adobe Reader/Acrobatの脆弱ぜいじゃくせいであるとして、べいアドビシステムズが10月5にちけで情報じょうほう公開こうかい同社どうしゃでは、10がつまつまでに修正しゅうせいばん公開こうかいするとしている。だが前述ぜんじゅつのセキュニアでは、この問題もんだいはAdobe Reader/Acrobatの脆弱ぜいじゃくせいではなく、Windowsの脆弱ぜいじゃくせいであるとしている。

 今回こんかい脆弱ぜいじゃくせい自体じたいは、2007ねん7がつあきらかになっていたものの、当初とうしょはそれほど話題わだいにならなかった。しかしその悪用あくよう容易よういであることや、さまざまなアプリケーション経由けいゆ悪用あくようできることなどがあきらかになってきた。そこで今回こんかい、マイクロソフトではあらためて情報じょうほう公開こうかいし、注意ちゅうい喚起かんきしたとかんがえられる。

 同社どうしゃでは、今回こんかい脆弱ぜいじゃくせい解消かいしょうする修正しゅうせいパッチを開発かいはつちゅう完成かんせいして検証けんしょう終了しゅうりょうすれば公開こうかいする予定よていだ。ユーザーからの要望ようぼうによっては、定例ていれいのパッチ公開こうかい米国べいこく時間じかん毎月まいつきだい2火曜日かようび以外いがいにも公開こうかいする可能かのうせいがあるとしている。

 マイクロソフトでは、現時点げんじてんでの回避かいひさくとして「信頼しんらいできないリンクはクリックしない。信頼しんらいできないWebサイトにはアクセスしない」ことをすすめている。