ニュース

Microsoft EdgeとIEにゼロデイ脆弱性、セッション情報の露出で個人情報など取得される恐れ

 ウェブブラウザーのMicrosoft EdgeおよびInternet Explorer(IE)に、セッション情報が露出する「同一生成元ポリシー違反」(CWE-346)の脆弱性があるとして、トレンドマイクロ株式会社が同社セキュリティブログで解説している。

 同一生成元ポリシーが機能している場合は、不正なウェブサイトに埋め込まれたJavaScriptがクライアントのキャッシュに保存されたセッション情報にアクセスすることはできないが、この脆弱性が悪用された場合は同一生成元ポリシーの回避に成功し、本来アクセスが制限されているリソースにアクセスできるようになる。

 この問題を発見したセキュリティリサーチャーのJames Lee氏は、各ウェブブラウザーの脆弱性を検証するための概念実証(PoC)サイト「pwning.click」を公開している。同ウェブサイトにアクセスすると、検索エンジン「Bing」にリダイレクトされるが、同一生成元ポリシーが適切に機能していれば、埋め込まれたJavaScriptはpwning.clickの情報のみを本来は表示する。

 同ウェブサイトに表示されたBingの検索機能を利用すると、検索結果の文字列などを含んだURLがポップアップで表示されるが、これはリダイレクト先のウェブサイトに関する情報へのアクセスが制限されず、攻撃者がユーザーの活動に関する情報にアクセスすることができることを意味する。

Internet ExplorerでPoCサイトにアクセスした結果表示されるポップアップ

 URLには、平文またはハッシュ値の形でCookie、セッションID、ユーザー名、パスワード、認証トークンなどの情報が含まれる可能性がある。攻撃者はこの脆弱性を利用することで、例えば、ユーザーの銀行アカウントを侵害し、個人情報にアクセスしたり決済処理を認証することも可能になるという。

 トレンドマイクロでは、この脆弱性に対処する修正プログラムが公開されるまで、Microsoft EdgeとIEの使用を控えることを推奨している。