早くも『IE 7』に脆弱性？

セキュリティ会社の Secunia は19日、Microsoft (NASDAQ:MSFT) の新 Web ブラウザ『Internet Explorer 7』(IE 7) に影響する脆弱性の情報を公開した。

Secunia によると、この脆弱性は IE に存在していたもので、URI ハンドラ「mhtml:」を使ったリダイレクト処理コードに問題があり、情報漏洩の恐れがあるという。

MHTML とは、メールのファイル添付メカニズムを利用し、画像など HTML コンテンツ表示に必要な複数の要素をまとめる形式だ。

Secunia は問題の脆弱性情報の中で、他の Web サイトから受け取った文書に、アクセスを許しかねないと述べた。

Secunia によると、『Windows XP Service Pack 2』と IE 7 を導入し、すべてのパッチをあてたシステム上で、この脆弱性を確認したという。また同社は、別のバージョンで同脆弱性が発現する可能性もあるとしている。Secunia は同脆弱性を確認できるページを公開済みだ。

Microsoft は、18日に IE 7 の正式版をリリースしたばかりで、今回の脆弱性報告に出端をくじかれる格好となった。

しかし、Microsoft Security Response Center (MSRC) のセキュリティ プログラム マネージャ Christopher Budd 氏は、MSRC 公式 Blog の中で、脆弱性はブラウザにあるのではなく、別の『Windows』コンポーネント、具体的には『Outlook Express』(OE) のコンポーネントに存在するものと説明した。

同氏は Blog で「(同脆弱性の) 問題が公になったことは認識しているが、顧客に対する何らかの攻撃で悪用されているという情報は聞き及んでいない」とし、次のように語った。

「われわれは、この件について調査を進めており、状況を詳しく観測している。調査が完了次第、顧客保護のため適切な処置をとる」

なお Secunia によると、Microsoft がパッチを公開するまでの対応策は、アクティブスクリプトを無効にすることだという。mhtml リダイレクト問題については、3年前から分かっており、Secunia の情報公開は、未だこの問題が解決していないことを改めて示したものといえるかもしれない。重要なのは、Microsoft がいつ対応するのかという点だ。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール