IE にまた「重大な」脆弱性、相次ぐパッチ公開

Microsoft (NASDAQ:MSFT) の主力ブラウザ製品『Internet Explorer (IE)』に、また新たな脆弱性が2つ見つかった。クロスドメインのセキュリティモデルに関するもので、同社は5日、その深刻度を最高の「緊急」として累積パッチを公開した。IE の脆弱性に対し同社が対応を施したのは11月下旬からの3カ月間で3度目となる。

Microsoft が発表したセキュリティ情報によると、最新パッチはこれまで公開した IE 5.01、5.5、6.0 向けのすべての修正プログラム機能を含むという。

今回の脆弱性はスウェーデンのセキュリティ専門家、Andreas Sandblad 氏が発見したもので、異なるドメイン間でのデータ共有を防ぐ機能を持つクロスドメイン セキュリティモデルに存在するもの。Microsoft はこれについて、「この問題は IE に発生するもので、セキュリティチェックが不完全なために、特定のダイアログボックスを使用中、1つの Web サイトが別のドメインの情報にアクセスすることを許してしまう可能性がある」と説明している。

攻撃者がこのセキュリティホールを利用するには、問題の脆弱性に狙いを絞った悪意ある Web ページを作成し、IE ユーザーがそのサイトにアクセスするよう仕向けなければならない。Microsoft によれば、「ユーザーがそのサイトを訪問すれば、攻撃者はダイアログボックスを悪用して悪意あるスクリプトを実行し、別のドメイン上に存在する情報を取得することが可能になる」という。

また同日、Microsoft はこれとは別に今年5件目となるセキュリティ情報を公開し、Windows XP のリダイレクタに未チェックのバッファが存在し、これを利用した攻撃を受ける危険があることを明らかにした。

この脆弱性の場合も、攻撃者がデータに特定の細工を施していれば、悪意あるコードを実行することが可能だという。Microsoft はこの問題の深刻度を「重要」として、パッチを公開している。