Internet Watch logo
記事検索
最新ニュース

IE 5.01〜6に、最も危険でパッチ未公開の4種類の脆弱性が発見される


 デンマークのセキュリティベンダーであるSecuniaは13日、Internet Explorer(IE) 5.01〜6に4種類の脆弱性が存在すると発表した。同社では最も危険度の高い“Extremely critical”と評価している。また、これらの脆弱性を修正するセキュリティ修正プログラム(パッチ)は現在のところ提供されていないため、マイクロソフトが同日に発表した最新のパッチを適用しても修正できない。

 今回発見された脆弱性は、「IEのリダイレクト機能に関する脆弱性」「ドラッグ&ドロップに関する脆弱性」「チャンネル機能に存在する脆弱性」「ポップアップウィンドウの表示を偽装できる脆弱性」の4点だ。いずれの脆弱性も任意のコードを実行される可能性があるなど、危険性が非常に高い。対象となるバージョンは、IE 6/5.5/5.01。

 1つ目の「IEのリダイレクト機能に関する脆弱性」は、4種類の中でも最も危険といえるものだ。IEのファンクションが同じ名前だが実態は異なるファンクションにリダイレクトされると、本来のセキュリティ権限を超えて呼び出されてしまうというものだ。これを悪用することによって、細工が施されたWebサイトが、ユーザーが信頼しているWebサイトを介して攻撃を仕掛けることなどが可能になるという。

 2つ目の「ドラッグ&ドロップに関する脆弱性」では、細工を施してあるURLをユーザーにクリックさせることで、ユーザーのPC上のデータなどを書き換えることが可能になるというものだ。

 3つ目は「チャンネル機能に存在する脆弱性」は、IEのチャンネル機能に存在する脆弱性。チャンネルをお気に入りに追加する際に、悪意のあるスクリプトなどがローカルセキュリティゾーンで実行されてしまうという。

 最後の「ポップアップウィンドウの表示を偽装できる脆弱性」は、ポップアップウィンドウの表示を偽装することで、ダウンロードしようとしているファイルの名前や種類をスプーフィングできるというものだ。例えば、画像ファイルを装って、悪意のあるコードを埋め込んだファイルをダウンロードおよび実行させることなどができる。

 Secuniaでは、Windows XP SP1とIE 6の組み合わせのシステムに、すべてのパッチやサービスパックを適用した状態で、これらの脆弱性が再現されたと報告している。また、Windows XP SP2(ベータ版)とIE 6の組み合わせでも影響を受けるとの報告も受けているという。

 これらの脆弱性を修正するパッチは7月14日現在、マイクロソフトより提供されていない。このため、SecuniaではActiveScriptやそのほかのスクリプト機能をすべて無効にするか、ほかのWebブラウザを利用することを推奨している。


関連情報

URL
  ニュースリリース(英文)
  http://secunia.com/advisories/12048/


( 大津 心 )
2004/07/14 14:33

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.