『IE』のドラッグ＆ドロップ機能に脆弱性

セキュリティ調査会社の Secunia は19日、Microsoft の Web ブラウザ『Internet Explorer (IE)』のドラッグ＆ドロップ機能に脆弱性が存在し、悪意ある攻撃を受ける危険があると警告を発した。

Secunia のセキュリティ勧告によると、同脆弱性は http-equiv と名乗る人物が発見して報告したもので、IE のバージョン5.01/5.5/6.0に存在し、既存パッチをすべて適用した Windows XP SP1 や SP2 と、IE 6.0 の組み合わせで確認したという。

Secunia は同脆弱性について、5段階中2番目に高い危険度とし、IE を使う際には「アクティブ スクリプト」を無効にするよう勧告している。

Secunia によると同脆弱性は、Windows のセキュリティゾーンでいうところの、インターネットゾーンからローカルゾーンに対して行なうドラッグ＆ドロップ操作について、検証不十分なことが原因という。同脆弱性を悪用すれば、有害な実行可能ファイルをユーザーのスタートアップフォルダに書き込み、次回の Windows 起動時に実行させるという攻撃が可能になる。

http-equiv 氏は脆弱性の実証例として、画像ファイルに偽装したプログラムをユーザーがドラッグ＆ドロップすると、スタートアップフォルダにプログラムを書き込むというサンプルも公開した。

「実証例では、ユーザーのドラッグ＆ドロップ操作が前提となっているが、シングルクリック操作を前提とするように書き直すことも可能かもしれない」と Secunia は警告している。

今回の脆弱性は、昨年11月に中国人の研究者 Liu Die Yu 氏が発見した複数の脆弱性にかなり似ている。すでに修正済みのこれらの脆弱性は、攻撃対象システムへのアクセス、重要情報の流出、クロスサイトスクリプティング、セキュリティ機構の回避といった危険性を、IE ユーザーにもたらすものだった。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール