『IE』と『Firefox』に共通する新たな脆弱性が発覚

Microsoft (NASDAQ:MSFT) の『Internet Explorer』(IE) と Mozilla Foundation の『Firefox』の両方に影響する可能性のあるセキュリティ問題など、めったにお目にかかれるものではない。

しかし、両 Web ブラウザに関して、意図しない情報漏洩を招きユーザーを危険に晒しかねない脆弱性があるとの報告が、セキュリティ会社やセキュリティ対応組織など、複数から挙がっている。

セキュリティの調査を行なっている Plebo Aesdi Nael 氏は27日、セキュリティ会社 Secunia が主宰する公開メーリングリスト『Full-Disclosure』に、2件の脆弱性に関する報告を投稿した。IE と Firefox の両方に影響があるのはそのうちの1件だけだ。

Secunia は同日、これら2件の脆弱性についてセキュリティ勧告を発表した。同社が示した危険度評価は、5段階のうち下から2番目になっているが、セキュリティに関する調査や教育を手がける組織 SANS Institute の情報センター SANS Internet Storm Center (ISC) は、少なくとも1件の脆弱性について「うなじの毛が逆立つ思いだった」と記している。

第1の脆弱性は、HTML アプリケーション (HTA) に関するものだ。HTA とは、外見上 Web ブラウザを用いず独自にユーザーインターフェースを構成し、単体アプリケーションとして機能するもので、基本的に HTML によって記述する。これは Microsoft 独自の機能だ。先に「外見上」と書いた通り、実際には IE を使って動作する。

この脆弱性を突くには、アイコンをクリックするというユーザー操作が必要となるが、重要情報漏洩の恐れがある。

第2の脆弱性は、『JavaScript』の「object.documentElement.outerHTML」プロパティに関するものだ。

SANS ISC によると「攻撃者はこのプロパティを悪用し、ユーザーが閲覧している Web ページの内容を盗み取ることができる」という。

最初に両脆弱性を報告した Nael 氏の投稿では、どちらも危険なのは IE だけとなっていた。しかし SANS ISC が独自に調べたところ、Firefox も上記のプロパティに関する脆弱性の影響を受けることが分かったという。

Nael 氏と Secunia は、これら脆弱性の動作を示す概念実証コードを公開済みだ。