月例パッチを前に、IEに新たな未パッチの脆弱性

[ITmedia]

　Microsoftの月例パッチリリースを前に、Internet Explorerに存在する新たな脆弱性が指摘された。

　セキュリティ研究者のマシュー・マーフィー氏は2月13日、Internet Explorerに未パッチの脆弱性が存在することを明らかにした。Dynamic HTML（DHTML）イベント／メソッドの検証が不十分なことに起因するドラッグ＆ドロップ処理に関する問題だ。悪用されると、ブラウザのセキュリティ制限をかいくぐって任意のコードを実行される恐れがある。

　この脆弱性は、名称は同じ「ドラッグ＆ドロップ」でも、2005年2月に修正された脆弱性とは別の問題だ。悪意あるWebサイトを用意するなど、何らかの手段でユーザーをそそのかし、細工を施したIEのウインドウからローカルのフォルダにオブジェクトをドラッグ＆ドロップすると攻撃を受ける恐れがある。

　ただしMicrosoft Security Response CenterやSANSによると、攻撃が成功するにはタイミングも問題となる。このため、2005年12月末に問題となったWMF（Windows MetaFile）の脆弱性ほど悪用は容易でないとしている。

　Microsoft Security Response Centerはブログの中で、次期サービスパック（Windows XP Service Pack 3およびWindows Server 2003 Service Pack 2）で脆弱性を修正する姿勢を明らかにした。ただし、Windows 2000のユーザーにはアップデートは提供されない。

　マーフィー氏によると、パッチが提供されるまでの回避策としては、IEの設定を変更し、アクティブ スクリプトを無効にすることなどが挙げられるという。