IEのゼロデイ攻撃

公開: 2024年12月21日18時0分頃

セキュリティホールmemoより: 「EEYEZD-20081209: Microsoft Internet Explorer 7 XML Zero-Day (www.st.ryukoku.ac.jp)」。

データバインディングまわりにリモートから任意のコードが実行できる脆弱性があり、既に攻撃が行われている模様。攻撃はIE7ターゲットのようですが、IE7に限らず全てのIEに影響する問題のようです。パッチはまだ無し。これはヤバイです。

「マイクロソフトセキュリティアドバイザリ (961051) Internet Explorer の脆弱性によりリモートでコードが実行される (www.microsoft.com)」に回避策として挙げられているものを見る限りでは、以下のいずれかをしておけばとりあえず大丈夫なようですが……。

DEPを有効にするのがオススメ……といいいたいところでしたが、XPでは無理ですね (そもそもDEPを有効にするオプションが存在しない)。XPの場合は、手順に沿ってOLEDB32.DLLを無効にするか、スクリプトを無効にするかのいずれかで対応しておく必要がありそうです。