米Microsoftは、古くなったJavaなどのActiveXコントロールをブロックする新機能をInternet Explorer(IE)に導入すると発表した。8月12日のセキュリティ更新プログラム公開に併せて、Windows 7および8以降のIEにこの機能を実装する。
ActiveXコントロールはWebサイトで動画やゲームといったコンテンツを表示するために使われているが、自動的に更新されないものも多く、脆弱性を狙った攻撃の温床になっている。
中でもJava ActiveXコントロールは最も危険性が高く、例えばMicrosoftのセキュリティ動向報告書最新版によれば、2013年に発見された攻撃関連キットのうち、Javaの脆弱性を悪用するものは84.6%〜98.5%を占めていた。たとえ脆弱性が修正されていても、ユーザーがそのことを知らない場合も多い。
こうした現状に対応して、IEに新たに導入する新機能の「out-of-date ActiveX control blocking」(古くなったActiveXコントロールの遮断)では、まずJava ActiveXコントロールの旧バージョンの読み込みを阻止する。
この機能はデフォルトで有効になり、旧バージョンのActiveXコントロールを遮断すると、例えば「Javaは古くなっていて更新の必要があるためブロックしました」といった内容の警告を表示する。ユーザーがこの画面で「更新」をクリックすると、最新版のダウンロードサイトに誘導される。
警告メッセージの例(Microsoftより)いずれJava以外の古くなったActiveXコントロールについても遮断リストに追加していく方針。
企業などでは設定を調整して、ユーザーによる古いActiveXコントロールの実行を阻止したり、この機能を無効にしたりすることもできる。
この機能はWindows 7 SP1ではIE 8〜11まで、Windows 8以降ではデスクトップ版のIEに対応する。
関連記事
- 8月の月例パッチは9件、Microsoftが公開予告
- Microsoft、脆弱性緩和ツール「EMET 5.0」を正式公開
- Windows 8.1 Updateは「ビジネス向けにさまざまな改善」——Windows担当幹部・ヴィッサー氏
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.