IE 7に3度目の脆弱性報告――過去に報告済みの問題とMS

Secuniaによれば、この問題を悪用されると信頼できるWebサイトのポップアップウィンドウに偽コンテンツを挿入することが可能になる。

[ITmedia]

　Internet Explorer（IE）7でWebサイトのコンテンツを偽装できてしまう新たな脆弱性が見つかったとして、デンマークのセキュリティ企業Secuniaが10月30日、アドバイザリーを公開した。これに対して米Microsoftはセキュリティセンターのブログで31日、この問題は2004年に指摘されたもので、同社で徹底調査済みだと反論している。

　SecuniaがIE 7の脆弱性を報告したのは正式リリース以来これで3件目（関連記事）。今回の深刻度は5段階中真ん中の「Moderately critical」とされている。

　Secuniaのアドバイザリーによれば、この問題では例えば悪質なWebサイトを使って、信頼できるWebサイト上で開かれるポップアップウィンドウに偽装コンテンツを挿入することができてしまう。完全にパッチを当てたWindows XP SP2で動作するIE 7.0で問題が確認されたという。

　Secuniaでは回避策として、信頼できるサイトと信頼できないサイトを同時に閲覧しないようアドバイスしている。

　これに対してMicrosoftのブログでは、「新たに報告された問題は、実際には2004年に報告された問題の繰り返し」にすぎないと説明している。

　これはIEや別のブラウザが設計上、ブラウザウィンドウにほかのサイトからページをロードすることができてしまうというもので、悪用されると信頼できないサイトから信頼できるサイト上にポップアップを表示できてしまう。

　このポップアップはアドレスバーなしで作成することができ、信頼できないコンテンツを正規のサイトのポップアップに見せかけてフィッシング詐欺やスプーフィング攻撃に利用できる。

　Microsoftでは2004年にこの問題を徹底調査した結果、ユーザーが被害に遭うのは、意図してブラウザのセキュリティ機能を使わない場合であることから、同社の定義に従うと脆弱性とは言えないとの結論を出したという。

　しかしMicrosoftでは、「フィッシング／スプーフィング対策強化の一助としてわれわれにできるのは、ポップアップウィンドウも含め、Webページの実際のURLを常に表示する機能をIE 7に付け加えることだと判断した」と説明。ポップアップウィンドウのアドレスバーを追加して、ユーザーがより正確に判断を下すことができるようにしたと述べている。