IE 7にフィッシング攻撃の脆弱性

問題を悪用されると任意のサイトで偽コンテンツを表示することが可能になるが、リスクは比較的低いとされる。

[ITmedia]

　MicrosoftのInternet Explorer（IE）7に、フィッシング攻撃に利用される可能性のある脆弱性が報告され、セキュリティ各社がアドバイザリーを出したた。リスクは比較的低いとされる。

　デンマークのSecuniaによると、IE 7にクロスサイトスクリプティングの脆弱性が存在し、ローカルリソースの「navcancl.htm」ページで「ページを更新」のリンクを処理する際に入力認証エラーが発生する。

　これを悪用されると任意のスクリプトコード挿入が可能になり、ユーザーが「ページを更新」のリンクをクリックすると、例えば任意のサイトで偽コンテンツを表示するといったことができてしまう。

　Secuniaでは、完全にパッチを当てたWindows XP SP2上のIE 7で脆弱性が確認され、ほかのバージョンも影響を受ける可能性があるとしている。なお、この問題の発見者は、Windows Vistaも影響を受けると指摘している。

　Secuniaの深刻度評価は5段階で下から2番目の「Less critical」。同社では、信頼できない筋からのリンクをクリックしないこと、および「Navigation Canceled」のページが表示された時には「ページを更新」のリンクをクリックしないことを回避策として挙げている。