MHTMLの脆弱性で情報漏えいの恐れ、Windows全バージョンに影響


 マイクロソフトは29日、WindowsのMHTMLに関するセキュリティアドバイザリを公開した。現在サポートされているWindowsのすべてのエディションに存在する新たな脆弱性が報告されている。

 MHTMLが文書内のコンテンツブロックのMIME形式のリクエストを解釈する方法が原因で、この脆弱性が存在するという。標的となるユーザーがさまざまなウェブサイトを訪問した時に悪意のあるスクリプトが実行させられることによって、情報漏えいが引き起こさせる可能性がある。影響は、サーバー側のクロスサイトスクリプティング(XSS)の脆弱性に類似しているという。

 マイクロソフトでは、公開された情報およびこの脆弱性を悪用しようとする検証コードの存在を認識している。ただし、現時点では積極的に脆弱性が悪用された兆候は確認していないとしている。脆弱性の回避策としてマイクロソフトは、MHTMLプロトコルのロックダウンを有効にすることなどを推奨している。

 マイクロソフトでは、脆弱性の調査が完了次第、月例または定例外のセキュリティ更新プログラムの公開によりこの問題に対応する予定。


関連情報

(増田 覚)

2011/1/31 12:35