IEに未解決の脆弱性情報、「悪用可能」との報告も

Full Disclosureに投稿された情報によると、IEにユニバーサルクロスサイトスクリプティングの脆弱性があり、同一生成元ポリシーをかわされる恐れがある。

[鈴木聖子，ITmedia]

　MicrosoftのInternet Explorer（IE）に存在するという未解決の脆弱性に関する情報が、セキュリティ情報サイトのFull Disclosureに投稿された。

　英セキュリティ企業のDeusenが1月31日に投稿した情報によると、IEにはユニバーサルクロスサイトスクリプティング（XSS）の脆弱性があり、同一生成元ポリシーをかわされる恐れがある。悪用された場合、攻撃者が別のドメインの内容を盗んだり、別のドメインに不正な内容を挿入したりできてしまうという。

　同社はこの脆弱性のコンセプトを実証するリンクも掲載。英紙Dailymailのコンテンツを外部のドメインによって改ざんし、「Hacked by Deusen」の文字を挿入できてしまうことを実証したとしている。脆弱性の存在はWindows 7上のIE 11で確認したという。

Deusenは改ざんを実証（Deusenより）

Dailymailサイト

　これに関連してTumblrの研究者も2月2日の投稿で、Deusenが指摘した脆弱性を「確認した」と報告した。悪用された場合、標準的なHTTPからHTTPSへの制限をかわされる恐れもあることが分かったと伝えている。

　報道によると、Microsoftはこの脆弱性を突く攻撃の横行は確認していないとした上で、現在セキュリティ更新プログラムの開発を進めていることを明らかにした。