IEに新たに2種類の脆弱性

[ITmedia]

　Microsoft Security Response Center（MSRC）は6月28日、Internet Explorerの新たな脆弱性を悪用するコンセプト実証コードが公になっていることをブログを通じて明らかにした。SANS ISCなどのセキュリティ機関も、これらの脆弱性への注意を呼びかけている。

　SANS ISCの情報によると新たな脆弱性は2種類ある。1つは、HTAアプリケーションの実行に関するものだ。何らかの手段でユーザーをだまし、SMBやWebDAV経由でファイルをダブルクリックして開かせることにより、リモートに置かれた任意のファイルが実行される恐れがあるという。もう1つはクロスドメイン違反の脆弱性で、悪用されれば、認証情報など重要なデータを盗み見られる恐れがある。

　MSRCによると、Microsoftでは2つの脆弱性に関する調査を行っているが、今のところ、これらの問題を悪用しての攻撃は把握していないという。一方でSANS ISCは、特に1つめの脆弱性に関して、「近いうちにエクスプロイットコードが利用されるのを目の当たりにすることになる可能性がある」と記している。

　一方、2つめの脆弱性の危険性は低い。しかしこの問題はIEだけでなく、Firefoxでも再現されるという。

　今のところ、2つの脆弱性を修正するパッチは提供されていない。問題が修正されるまでの間は、「信頼できないリンクをクリックしない」「ActiveX／Activeスクリプトを無効にする」ことで影響を回避できるという。