今週のセキュリティ・アドバイザリーでマイクロソフトは、Windows 2000、XP、およびServer 20003ユーザに新しいゼロディ脆弱性に関する警告を発した。脆弱性は、Visual Basicスクリプト（VBscript）がInternet ExplorerのWindowsヘルプファイルと相互に作用する際に発生する。しかし、攻撃者は対象者にF1キーを押してもらわなければ、この脆弱性を攻撃できない。

この攻撃は次のように行われる。攻撃者はまずeメールのメッセージまたはIMメッセージのリンクなどによって、不正ウェブサイトへ誘導する。不正サイトで、ダイアログボックスがポップアップし、なんらかの理由でF1キーを押すように促す。この時にF1キーを押すと、サイト上の不正コードが脆弱性を利用して、マルウェアをユーザ権限が使われて、インストールされてしまう。

この新しいゼロディ脆弱性は、iSEC Security Researchの研究者によって発見された。残念なことに、研究者は無責任にも、このセキュリティホールの詳細をマイクロソフトがパッチを開発する時間を与えることなく、発表してしまった。もしこの脆弱性の技術的な詳細を知りたいのであれば、iSECのアドバイザリーを詳細すること。さらに問題を拡大するのは、研究者が脆弱性を説明するための攻撃デモを発表してしまったことだ。攻撃者が真似する可能性が高いので、これは大きなリスクとなりうる。しかし、この攻撃が成功するためには、攻撃者が対象者にF1キーを押すように誘導しなければいけない。もしF1キーを押さなければ、攻撃は不発に終わる。従って、現時点で変なウェブサイトでF1キーを押さないようにユーザに警告することによって、不正サイトのこの脆弱性を利用した攻撃を防ぐことができる。

マイクロソフトからすぐにパッチがリリースされることを予想する。しかし、この脆弱性をマイクロソフトのPatchDay直前に把握したことによって、今月の数少ないアップデートにパッチが含まれる可能性は低い。このパッチがマイクロソフトからリリースされ次第、LiveSecurityユーザに連絡する。

Corey Nachreiner, CISSP

【原文】
Don't press F1 if a website tells you to
http://www.watchguard.com/RSS/showarticle.aspx?pack=RSS.Win.F1.0day