マイクロソフトは1日、IE上で動作するVBScriptに脆弱性が見つかったことを公表しました。現在、この脆弱性を使った悪用は未確認としています。セキュティアドバイザリも公開されています。
脆弱性が確認されたのはWindows XPと2000,およびIEのセキュリティ設定をデフォルトより下に設定したWindows 2003 Serverの3つ。Windows Serverについてはデフォルト設定のまま利用している場合は影響を受けません。
今回の脆弱性は、特殊な加工がされたページをIEで閲覧した場合にダイアログボックスが表示され、そこでF1キーを押すことで任意のコードが実行可能になるというもの。見覚えのないダイアログボックスが表示され、そこでF1キーを押してくださいと書いてあっても、押してはいけませんよということのようです。
マイクロソフトでは現在この問題を調査中で、月例または定例外のセキュリティパッチで対応予定とのこと。以前使っていたF1キーが押されっぱなしになるMicrosoft Wireless Optical Desktop Proを使っていたら一発アウトでしたね。
