「IEでF1」問題のProof of Conceptコード公開

先日、Internet Explorerでwebページを表示させて、さらに「F1キーを押してください」とユーザを誘導させることで、任意のコードを実行させてしまえるという話題が出ていましたが、そのPoC (Proof of Concept)コードが公開されたようです。

VBScriptの未修正の脆弱性を突くPoCが公開、MSが回避策を呼び掛け - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/03/news028.html

なるほど、これってVBScriptとWindows Helpをからめた脆弱性だったんですね。
しかし「F1を押してください」とユーザを誘導させるのはうまいですね。
いかにもそうさせる文言は、いくらでも作れそうです。

詳しくは以下参照。

マイクロソフト セキュリティ アドバイザリ (981169)
VBScript の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/981169.mspx

SANS Internet Storm Center: IE 0-day using .hlp files
http://isc.sans.org/diary.html?storyid=8332