セキュリティ組織の米SANS Instituteや米US-CERTなどは現地時間6月28日,Internet Explorer(IE)に2種類の新しいセキュリティ・ホールが見つかったとして注意を呼びかけた。悪用されると,任意のプログラムを実行されたり,ユーザー情報などを盗まれたりする恐れがある。セキュリティ・ホールを突くことが可能であることを示す検証コードも公表されている。いずれについても,修正パッチ(セキュリティ更新プログラム)は未公表。
今回公表されたセキュリティ・ホールは2種類。1つはファイル共有に関するセキュリティ・ホール。細工が施されたWebページにおいて,ユーザーがあるアクションをおこなうと,リモート・サイトに置かれた任意のHTAファイルが,SMBあるいはWebDAVを通じてユーザーのパソコン上で実行される。
もう1つは,クロスドメインのセキュリティ・ホール。ユーザーがアクセスしているWebサイトのコンテンツに,別のドメインの攻撃者がアクセスできてしまう。これにより,ユーザーのアカウント情報などを盗むことが可能となる。
なおSANS Instiuteによれば,後者のセキュリティ・ホールについては,Firefoxも影響を受けることを確認しているという。
米Microsoftでは,いずれのセキュリティ・ホールについても調査中。現時点では修正パッチは未公表である。SANS InstiuteやデンマークSecuniaの情報によれば,いずれについても,IEの設定で「アクティブスクリプト」を無効にすれば,影響を回避できるという。
◎参考資料
◆Public Exploit Code for Unpatched Vulnerabilities in Microsoft Internet Explorer(米US-CERT)
◆Two new Internet Explorer vulnerabilities disclosed including PoC(米SANS Institute)
◆Internet Explorer Information Disclosure and HTA Application Execution(デンマークSecunia)
