Internet Explorer にまたも脆弱性

世界で最も普及している Web ブラウザに、またしても複数の脆弱性が見つかっている。最も普及しているブラウザとは、もちろん Microsoft (NASDAQ:MSFT) の『Internet Explorer』(IE) のことだ。

2日の午後遅く、ドイツのセキュリティ専門家 Benjamin Tobias Franz 氏は、IFRAME タグに関して、IE に URL 偽装攻撃を許す可能性のあるバグが見つかったと報告した。この脆弱性を突けば、マウスなどでリンクにフォーカスした際、実際の飛び先とは異なる URL を、ステータス バーに表示させることが可能という。

同氏は、セキュリティ関連のメーリングリスト『BugTraq』に寄せた投稿で、「この脆弱性を悪用すれば、ActiveScript (JavaScript) を無効化していても、ステータス バーに表示する URL を偽装できる」と述べた。

また、セキュリティ問題の専門家 Gilbert Verdian 氏は、同じ手法による URL の偽装が、『Mac OS X』上で動作する Apple の Web ブラウザ『Safari』でも可能だと報告している。

Microsoft の広報担当は取材に対し、同脆弱性の悪用事例やユーザーへの影響については現時点で報告を受けていないが、同社は公開の場に出た報告を、精力的に調査していると語った。

「調査が終了した時点で、当社はユーザーを護るために適切な措置を取る。月例更新を通じて修正プログラムを公開するなり、顧客の要望次第では、月例サイクル以外で個別に対応する」と広報担当は述べた。

一方、セキュリティ調査会社の Secunia も、IE で IFRAME タグを用いてバッファオーバーフローが発生し得る脆弱性について報告を受けたとして、2日にセキュリティ勧告を出した。同脆弱性の悪用例はすでに存在し、攻撃対象のパソコンで任意のコード実行が可能という。

同社はこの脆弱性の危険度を、5段階評価で最大とする評価を下した。

勧告では問題の脆弱性について、「IFRAME タグの特定の属性を処理する部分にバウンダリ問題があり、これが原因となっている。IFRAME タグの SRC や NAME 属性に、過度に長い文字列を意図的に仕込んだ HTML ドキュメントを利用して、バッファオーバフローを発生させることができる」と述べている。

なお Secunia の勧告によると、『Windows XP』の SP2 適用版は同脆弱性の影響を受けないという。