米Microsoftのセキュリティ・チーム(Microsoft Security Response Center:MSRC)は10月19日,同社ブラウザの新版「Internet Explorer 7(IE 7)」にセキュリティ・ホールが見つかったとする報道に対して,公式ブログでコメントした。それによると,報じられているセキュリティ・ホールはIEに関するものではないという。

 同情報には明記されていないが,言及されているセキュリティ・ホールは「MHTMLプロトコル・ハンドラ」に関するものだと考えられる。「mhtml:」で始まるURLの処理に問題があるため,ユーザーが細工の施されたWebページにアクセスするなどすると,ユーザーの重要情報を攻撃者に盗まれる恐れがある。

 このセキュリティ・ホール自体は既知のものである。IE 6(およびそれ以前のバージョン)に存在するものとして,2006年4月に報告されている(デンマークSecuniaの情報)。それが,IE 7をインストールした環境でも確認されたため,「IE7に早くもセキュリティ・ホールが見つかった」といった報道を招いていると考えられる(Secuniaの情報)。

 しかしながらMicrosoftのセキュリティ・チームによれば,一連の報道は技術的に不正確であるという。IEを介して悪用される可能性が高いために「IEのセキュリティ・ホール」とされているが,実際にはIEではなく,Outlook Expressのコンポーネントに存在するセキュリティ・ホールであるとしている。

 MHTMLプロトコル・ハンドラに関するセキュリティ・ホールは過去にも複数見つかり,同社ではそのたびに修正パッチを提供している。その際,セキュリティ・ベンダーや組織などでは,MHTMLプロトコル・ハンドラのセキュリティ・ホールを今回と同じように「IEのセキュリティ・ホール」としているケースが少なくないが,Microsoftでは「Outlook Expressのセキュリティ・ホール」としてセキュリティ情報やパッチをリリースしている(関連記事:Outlook Expressに「緊急」のセキュリティ・ホール)。

 今回問題となっているセキュリティ・ホールの詳細は公表されており,セキュリティ・ホールを突くことが可能であることを示すデモ・ページも公開されている。しかしながら同社セキュリティ・チームでは,このセキュリティ・ホールを悪用する実際の攻撃は確認していないという。

 なお,今回のセキュリティ・ホールを悪用しても,攻撃者が意図したプログラムを実行させるようなことはできない。セキュリティ・ベンダーのSecuniaでは,今回のセキュリティ・ホールの危険度(Criticality)を,5段階評価で下から2番目の「Less Critical」に設定している。

 Microsoftのセキュリティ・チームでは,現在このセキュリティ・ホールについて調査中。調査が終了次第,ユーザーを守るために適切な対応をするとしている。

Microsoft Security Response Center Blog