Microsoftの月例パッチリリースを前に、Internet Explorerに存在する新たな脆弱性が指摘された。
セキュリティ研究者のマシュー・マーフィー氏は2月13日、Internet Explorerに未パッチの脆弱性が存在することを明らかにした。Dynamic HTML(DHTML)イベント/メソッドの検証が不十分なことに起因するドラッグ&ドロップ処理に関する問題だ。悪用されると、ブラウザのセキュリティ制限をかいくぐって任意のコードを実行される恐れがある。
この脆弱性は、名称は同じ「ドラッグ&ドロップ」でも、2005年2月に修正された脆弱性とは別の問題だ。悪意あるWebサイトを用意するなど、何らかの手段でユーザーをそそのかし、細工を施したIEのウインドウからローカルのフォルダにオブジェクトをドラッグ&ドロップすると攻撃を受ける恐れがある。
ただしMicrosoft Security Response CenterやSANSによると、攻撃が成功するにはタイミングも問題となる。このため、2005年12月末に問題となったWMF(Windows MetaFile)の脆弱性ほど悪用は容易でないとしている。
Microsoft Security Response Centerはブログの中で、次期サービスパック(Windows XP Service Pack 3およびWindows Server 2003 Service Pack 2)で脆弱性を修正する姿勢を明らかにした。ただし、Windows 2000のユーザーにはアップデートは提供されない。
マーフィー氏によると、パッチが提供されるまでの回避策としては、IEの設定を変更し、アクティブ スクリプトを無効にすることなどが挙げられるという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR