ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

IE 7でまた脆弱性報告

» 2006年10月26日 11時38分 公開
[ITmedia]

 デンマークのセキュリティ企業Secuniaは10月25日、Microsoft Internet Explorer(IE)7について、公式リリース以来2件目となる脆弱性情報を公開した。深刻度評価は5段階中2番目に低い「Less critical」。Microsoftもこの問題について調査を開始した。

 Secuniaのアドバイザリーによると、この問題では多数の特殊記号をURLに付加した偽装的アドレスバーでポップアップを表示できてしまう。これにより、アドレスバーの一部のみを表示することが可能になり、フィッシング攻撃に利用される恐れがある。

 この問題は、完全にパッチを当てたWindows XP SP2上で動作するIE 7で確認されたという。

 米Microsoftはセキュリティセンターの公式ブログで26日、報告を受けて調査を開始したと明らかにした。これが実際の攻撃に悪用されたとは聞いていないが、調査完了後に必要な措置を取る方針だとしている。

 Microsoftによるとこの問題は、ユーザーが信頼できないWebサイトや電子メールで特殊な形のリンクをクリックして表示されるポップアップウィンドウで発生する。

 アドレスバーにはURL全体が提示されるものの、最初はURLの左側部分が表示されない状態になっている。ブラウザのウィンドウかアドレスバーをクリックしてアドレスバー内部をスクロールすれば、URL全体を見ることが可能になる。

 フィッシングサイトがこの問題を悪用しようとしても、IE 7ではフィッシングフィルタがユーザー保護の一助になるとMicrosoft。

 IE 7をめぐっては、公式リリース翌日の10月19日にもSecuniaが脆弱性を見つけたと報告した。こちらの問題ではMicrosoftは、脆弱性が存在するのはIE 7ではなくOutlook Expressのコンポーネントだと反論している

Copyright © ITmedia, Inc. All Rights Reserved.