当該脆弱性に関する情報は2010年12月24日に公表されていましたが、当該脆弱性を使用した攻撃コードも公開^(*1)されているため、修正プログラムの公開までの回避措置のひとつとして回避策が公開されました。

　なお、当該回避策を適用するには、事前にMS10-090の修正プログラムを適用しておく必要があることと、当該回避策を適用した場合、パソコンの性能に若干の影響がでる可能性があることが注記されています。

　マイクロソフト セキュリティ アドバイザリ （2488013）
　http://www.microsoft.com/japan/technet/security/advisory/2488013.mspx

　Internet Explorer の CSS スタイル シートの再帰的なロードを防ぐ
　http://support.microsoft.com/kb/2488013/

　今回の脆弱性は、Internet Explorer 6、同7、同8のCSS^(*2)（Cascading Style Sheets）の処理に存在し、攻撃者が細工したウェブページやHTMLメールなどを参照したときに、利用者のパソコンで任意のコード（命令）を実行することができるというものです。

　IPAは社会的影響が大きいと考えられる脆弱性情報について、緊急対策情報を発信することがあります。脆弱性情報は色々な組織から毎日のように発信されていますが、IPAの緊急対策情報は、原則として、当該脆弱性を悪用した攻撃が実際に確認されており、その脆弱性に対する修正プログラムが公開されている場合に、速やかに対策をするよう呼び掛けています。今回のマイクロソフトの脆弱性情報については、修正プログラムは未だ公開されていませんが、1月12日に回避策が公開されたことを受け、広く注意を呼び掛けることとしました。

　IPAとJPCERT/CCは、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト JVN（Japan Vulnerability Notes）を運営しています。

(*1)攻撃コードの公開とは、脆弱性を悪用する命令のサンプルが、どこかのウェブサイトに掲載されているという状態を示します。例えば、脆弱性のあるプログラムを異常終了させるとか、電卓プログラムのようなパソコンに標準で付属しているプログラムを起動できるなどの命令の例があります。攻撃コードが公開されているという記述の場合、実際に当該脆弱性を悪用した攻撃やウイルスが確認されていないことが多いです。

(*2)CSSとは、ウェブサイトの作成に良く使用されるHTMLにおいて、文字データや画像データを利用者のパソコンでどのように見えるようにするかを指示する仕組みです。

• プレスリリース全文(124KB)

• IPA 緊急対策情報・注意喚起一覧
  http://www.ipa.go.jp/security/announce/alert.html

• JVN iPedia　脆弱性対策情報データベース
  http://jvndb.jvn.jp/

• JVN(Japan Vulnerability Notes)
  http://jvn.jp/cert/JVNVU634956/

IPA　セキュリティセンター(IPA/ISEC)　渡辺／大森

Tel: 03-5978-7527 　Fax: 03-5978-7518

E-mail:

IPA　戦略企画部広報グループ　横山／大海

Tel: 03-5978-7503 　Fax: 03-5978-7510 　E-mail: