japan.internet.comThe Internet & IT Network
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年7月4日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
Webテクノロジー2003年11月27日 00:00

『IE』の重大な脆弱性、メーリングリストで公開

海外海外internet.com発の記事
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
Microsoft (NASDAQ:MSFT) のブラウザ製品『Internet Explorer (IE)』に、システム乗っ取りにつながる5つの重大な脆弱性があるとする警告を、中国人のセキュリティ研究者が25日に発した。

Liu Die Yu 氏は同脆弱性の詳細と実施例を、メーリングリスト『Bugtraq』上で公表した。同脆弱性を悪用すれば、システムアクセス、重要情報の流出、クロスサイトスクリプティング、セキュリティ機構の回避が可能という。

Yu 氏は同脆弱性が悪用可能だと示すための実例も、参加者の多い同メーリングリスト上で公開した。同氏によると、問題の脆弱性は IE 5.0/IE 5.5/IE 6.0に存在するという。

独立系セキュリティコンサルタント会社 Secunia は、同脆弱性の深刻度を「極めて重大」とし、Microsoft が対応するまで回避策として、アクティブスクリプトを無効にするよう IE ユーザーに勧めている。

同脆弱性は、「mhtml:」の URI ハンドラを使ったリダイレクト機能に関連している。Yu 氏によると、通常は「インターネット」ゾーンの Web ページからローカルファイルにアクセスできないが、同脆弱性を悪用することでそのセキュリティ機構を回避し得るという。

また Yu 氏は、リダイレクト機能が、ユーザーのシステム上に悪意のあるファイルをダウンロードして実行するのにも悪用されるおそれがあると述べた。ただし悪用が成功するには、スクリプトコードをローカルのセキュリティゾーンで実行する必要があるという。

Yu 氏は警告の中で、Web ページがサブフレームを含む場合、他の Web ページに関連付けたセキュリティゾーンで、スクリプトコードを実行できてしまうクロスサイトスクリプティング脆弱性の存在についても触れている。

Microsoft は現在、毎月第2火曜日にセキュリティ情報と修正プログラムを定期的に公開する体制をとっている。ただし脆弱性を悪用するコードが実際に出回って、大きな被害が出ている場合には、臨時にでも修正プログラムを公開すると、同社は述べていた。

脆弱性利用の実施例を Yu 氏が公開したことについて、Microsoft からコメントを得ることはできなかった。

関連テーマ
このエントリーを含むはてなブックマーク この記事をクリップ!
BuzzurlにブックマークBuzzurlにブックマーク Yahoo!ブックマークに登録
この記事をokyuuへインポート
最新トップニュース
データメーション
【データメーション】
中国が「Green Dam」フィルタ規制を撤回(7月1日)
Graphic Design Forum
【Graphic Design Forum】
Chris Dickman(6月25日)
プライバシー ジャパン・インターネットコム版
【プライバシー ジャパン・インターネットコム版】
グーグル・ストリートビューの問題について総務省の見解(6月23日)
エンジニアの独り言
【エンジニアの独り言】
システムを「使う」時代のエンジニアに求められるもの(6月2日)
最新ハイテク講座
最新ハイテク講座
電気は家庭でつくる時代へ!燃料電池「エネファーム」(7月3日)
アクセス解析で見るWebマーケティング
アクセス解析で見るWebマーケティング
決定力を探るアクセス解析(7月3日)
百式のネットビジネス研究
百式のネットビジネス研究
ファーストフードを高級っぽく盛り付けて紹介している「Fancy Fast Food」(7月3日)
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)(7月2日)
成約率、反応率を上げる Web 文章術
成約率、反応率を上げる Web 文章術
言葉がダイレクトにキャッシュを生む(7月2日)
不況時代の Web ビジネス最適化講座
不況時代の Web ビジネス最適化講座
アクセス解析エキスパートここだけの話、Web コンシェルジュの“勉強法”こっそり教えます(7月2日)
「Webからの脅威」―その傾向と最新対策
「Webからの脅威」―その傾向と最新対策
不正プログラムの分類(7月1日)
DevX
DevX
JavaScriptとDOMによる動的なWebページの作成(6月30日)
エンジニア転職ノウハウ開発室
エンジニア転職ノウハウ開発室
今のままで大丈夫?3匹の子ブタ的キャリア危険度診断(6月30日)
アイレップの SEM フロンティア
アイレップの SEM フロンティア
Web サイトは「無駄な穴のたくさん開いたじょうご」〜サイト成果向上の基本的な考え方(6月30日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/