IEに脆弱性、完全な解決策は存在せず

[ITmedia]

　米コンピュータ緊急対策チーム「US-CERT」は4月8日、MicrosoftのInternet Explorer（IE）に存在するクロスドメインスクリプティングの脆弱性についての警告を発した。悪用されると被害者のコンピュータ上で任意のコードを実行される恐れがある。

　CERTによるとこの脆弱性は、IEのInfoTech Storage（ITS）プロトコルハンドラーが「Compiled HTML Help」（CHM）ファイルに保存されたHTMLコンポーネントのセキュリティ領域を定める方法に存在する。

　攻撃者は被害者に特定のWebページやHTMLメールなどを参照させることで、CHMファイルに仕込んだ任意のスクリプトをその被害者と同じ権限で実行できる。

　この脆弱性は、IE以外でもOutlookやOutlook Expressなど、WebBrowser ActiveXコントロールあるいはIE HTMLレンダリングエンジン（MSHTML）を使っているプログラムも影響を受ける可能性がある。

　CERTによれば、IE以外のブラウザを使ってもこの脆弱性は回避できないかもしれない。IE以外のブラウザがWindowsシステム上で、IEにITSプロトコルURLを処理させることがあるためだ。

　この脆弱性を悪用するコードは実際に存在し、実際にこれが悪用されていることを示す報告もあるという。

　「この脆弱性に関し、現段階では完全な解決策は存在しない」とCERTは指摘。パッチがリリースされるまでの間、ActiveスクリプティングとActiveXコントロールの機能を停止し、迷惑メールなどで送られてくるURLをクリックしないなど、攻撃の可能性を低減させる当面の措置を講じるよう勧告している。