『IE』の重大な脆弱性、メーリングリストで公開

Microsoft (NASDAQ:MSFT) のブラウザ製品『Internet Explorer (IE)』に、システム乗っ取りにつながる5つの重大な脆弱性があるとする警告を、中国人のセキュリティ研究者が25日に発した。

Liu Die Yu 氏は同脆弱性の詳細と実施例を、メーリングリスト『Bugtraq』上で公表した。同脆弱性を悪用すれば、システムアクセス、重要情報の流出、クロスサイトスクリプティング、セキュリティ機構の回避が可能という。

Yu 氏は同脆弱性が悪用可能だと示すための実例も、参加者の多い同メーリングリスト上で公開した。同氏によると、問題の脆弱性は IE 5.0/IE 5.5/IE 6.0に存在するという。

独立系セキュリティコンサルタント会社 Secunia は、同脆弱性の深刻度を「極めて重大」とし、Microsoft が対応するまで回避策として、アクティブスクリプトを無効にするよう IE ユーザーに勧めている。

同脆弱性は、「mhtml:」の URI ハンドラを使ったリダイレクト機能に関連している。Yu 氏によると、通常は「インターネット」ゾーンの Web ページからローカルファイルにアクセスできないが、同脆弱性を悪用することでそのセキュリティ機構を回避し得るという。

また Yu 氏は、リダイレクト機能が、ユーザーのシステム上に悪意のあるファイルをダウンロードして実行するのにも悪用されるおそれがあると述べた。ただし悪用が成功するには、スクリプトコードをローカルのセキュリティゾーンで実行する必要があるという。

Yu 氏は警告の中で、Web ページがサブフレームを含む場合、他の Web ページに関連付けたセキュリティゾーンで、スクリプトコードを実行できてしまうクロスサイトスクリプティング脆弱性の存在についても触れている。

Microsoft は現在、毎月第2火曜日にセキュリティ情報と修正プログラムを定期的に公開する体制をとっている。ただし脆弱性を悪用するコードが実際に出回って、大きな被害が出ている場合には、臨時にでも修正プログラムを公開すると、同社は述べていた。

脆弱性利用の実施例を Yu 氏が公開したことについて、Microsoft からコメントを得ることはできなかった。