仏FrSIRTは5月14日、Internet Explorer(IE)にゼロデイの脆弱性が見つかったとしてアドバイザリーを公開した。
脆弱性は印刷用のHTML文書を生成する際のURLとリンク処理の入力認証エラーに起因する。
「リンクの一覧を印刷する」オプションが有効になった状態で、細工を施したWebページをユーザーが閲覧・印刷すると、攻撃者が任意のコマンドを実行し、システムを制御できるようになる。
ただし「リンクの一覧を印刷する」はデフォルトでオフになっている。問題を悪用するにはユーザー側の操作が必要なため、FrSIRTの深刻度評価は4段階評価で下から2番目の「Moderate Risk」となっている。
関連記事
- 物議を醸すセキュリティ研究者の「バグ探しコンテスト」
イスラエルのセキュリティ研究者が、未パッチのバグを悪用するコードを自分のブログに埋め込んだ。これが脆弱性の責任ある開示をめぐる議論を呼んでいる。 - 「こっそり対処」のMSの脆弱性、今になって明るみに
Microsoftが昨年12月のパッチで対処済みの脆弱性に関する情報が、今になって公開された。 - IE 8でセキュリティ機能のデフォルト設定が変更に
IE 7ではデフォルトでオフになっていたセキュリティ機能のDEPとNXが、Windows VistaとWindows Server 2008上のIE 8ではデフォルトでオンになる。 - MS、データベースエンジン脆弱性に「対処しない」を改める
今回悪用された脆弱性は3年前から指摘されていたが、Microsoftはこれまで対処してこなかった。 - IE 8のセキュリティは?
IE 8β1のセキュリティ機能は少なく、サイトで紹介されているのはフィッシングサイトを警告する「Safety Filter」だけだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.