『IE』と『Firefox』に共通する新たな脆弱性が発覚

この記事のURLhttp://japan.internet.com/webtech/20060630/11.html

Microsoft (NASDAQ:MSFT) の『Internet Explorer』(IE) と Mozilla Foundation の『Firefox』の両方に影響する可能性のあるセキュリティ問題など、めったにお目にかかれるものではない。

しかし、両 Web ブラウザに関して、意図しない情報漏洩を招きユーザーを危険に晒しかねない脆弱性があるとの報告が、セキュリティ会社やセキュリティ対応組織など、複数から挙がっている。

セキュリティの調査を行なっている Plebo Aesdi Nael 氏は27日、セキュリティ会社 Secunia が主宰する公開メーリングリスト『Full-Disclosure』に、2件の脆弱性に関する報告を投稿した。IE と Firefox の両方に影響があるのはそのうちの1件だけだ。

Secunia は同日、これら2件の脆弱性についてセキュリティ勧告を発表した。同社が示した危険度評価は、5段階のうち下から2番目になっているが、セキュリティに関する調査や教育を手がける組織 SANS Institute の情報センター SANS Internet Storm Center (ISC) は、少なくとも1件の脆弱性について「うなじの毛が逆立つ思いだった」と記している。

第1の脆弱性は、HTML アプリケーション (HTA) に関するものだ。HTA とは、外見上 Web ブラウザを用いず独自にユーザーインターフェースを構成し、単体アプリケーションとして機能するもので、基本的に HTML によって記述する。これは Microsoft 独自の機能だ。先に「外見上」と書いた通り、実際には IE を使って動作する。

この脆弱性を突くには、アイコンをクリックするというユーザー操作が必要となるが、重要情報漏洩の恐れがある。

第2の脆弱性は、『JavaScript』の「object.documentElement.outerHTML」プロパティに関するものだ。

SANS ISC によると「攻撃者はこのプロパティを悪用し、ユーザーが閲覧している Web ページの内容を盗み取ることができる」という。

最初に両脆弱性を報告した Nael 氏の投稿では、どちらも危険なのは IE だけとなっていた。しかし SANS ISC が独自に調べたところ、Firefox も上記のプロパティに関する脆弱性の影響を受けることが分かったという。

Nael 氏と Secunia は、これら脆弱性の動作を示す概念実証コードを公開済みだ。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。