[F1]キーを押さないで!---Windowsに新たな脆弱性
VBScriptとヘルプの処理に問題、「実証コード」が既に出回る
in ITPro
米マイクロソフトは2010年3月1日、Windowsに新たな脆弱性が見つかったことを明らかにした。細工が施されたWebページで[F1]キーを押 すと、ウイルスなどを実行される恐れがある。セキュリティ更新プログラム(修正パッチ)は未公開。
今回の脆弱性は、VBScriptとヘルプファイルの処理に関 するもの。影響を受けるのは、Windows 2000/XP/Server 2003。Windows Vista/7/Server 2008は影響を受けない。
脆弱性は、Internet Explorer(IE)を通じて悪用される恐れがある。細工が施されたWebページにIEでアクセスし、[F1(ファンクション1)]キーを押してヘル プファイルを呼び出すと、ウイルスなどを勝手に実行される危険性がある。実際、そのような攻撃が可能であることを示すプログラム(実証コード)がインター ネット上で公開されているという。
実際の攻撃では、Webページ上にダイアログボックスやポップアップなどを表示して、ユーザーに[F1]キーを押すよう促すと考えられる。ただし、マイ クロソフトやセキュリティ組織の米サンズ・インスティチュートなどによれば、今のところ、実際の攻撃は確認されていないという。
修正パッチは未公開。マイクロソフトでは今回の脆弱性を調査中で、完了次第、必要な対応(修正パッチの公開など)を実施するという。
現時点での回避策は、とにかく[F1]キーを押さないこと。細工が施されたWebページにアクセスするだけでは被害に遭わない。[F1]キー押すよう促すダイアログなどが表示されても、押さないことが重要。
IEの設定を変更して、セキュリティ設定を「高」にしたり、アクティブスクリプトを無効にしたりすることでも攻撃を防げる。ヘルプファイルを呼び出すプ ログラム「winhlp32.exe」を一時的に無効にすることも回避策になる。これらの具体的な設定方法については、マイクロソフトの情報を参照してほ しい。
米マイクロソフトの情報
(勝村 幸博=日経パソコン) [2010/03/02]