「IE 7の脆弱性」認識めぐりSecuniaがMS批判

ポップアップコンテンツの偽装問題について「脆弱性ではない」とするMicrosoftの見解に対し、「自社ブラウザの弱点に対して責任を持つべき」とSecuniaが改めて批判した。

[ITmedia]

　デンマークのセキュリティ企業Secuniaが報告した「IE 7の脆弱性」をめぐり、2004年にこの問題が発覚した時点でFirefoxなどほかのブラウザはすべて問題を修正したのに、IEでは修正されていないとして、10月31日のブログで改めてMicrosoftを批判した。

　Secuniaは30日、IE 7の脆弱性に関する3件目のアドバイザリーを公開し、信頼できるWebサイト上で開かれるポップアップウィンドウに、悪質サイトのコンテンツを挿入できてしまう問題があると解説。これに対してMicrosoftは、この問題は2004年に発覚したものであり、同社の定義に従うと脆弱性とは言えないと反論していた（関連記事）。

　Secuniaは31日のブログで、この問題がIE 6から引き継がれたもののようだと認めている。その上で、2004年の時点で同じ問題が発覚したFirefox、Opera、Safariなどほかのブラウザは、すべてこの問題を脆弱性と認識してパッチをリリースしたのに、IE 6のユーザーは「異なるドメイン間のサブフレームの移動」の設定を変えることで対処しなければならなかったと指摘した。

　IE 7ではこの設定がデフォルトで無効になっているがうまく機能しておらず、そのこと自体がセキュリティ上の問題と言えるとSecuniaは批判する。

　アドレスバーが常に表示されるようになったことで問題は緩和されるが、ポップアップに表示されているアドレスが例えば「my.webbank.com」ではなく「my.webbank.com.cn」になっていたとしても、ユーザーがURLを最後まで確認して違いを見つけ、「誰かが自分を騙そうとしているな」などと思うものだろうかとSecuniaは問い掛け、Microsoftは自社ブラウザのバグや弱点、脆弱性に対して責任を持つべきだと主張している。