Microsoftは,2007年7月に発見されたWindowsで発生する問題の原因が他社製ソフトウエアにあると主張していたが,10月10日(米国時間)に方針を変え,修正することにした。WindowsのUniform Resource Identifier(URI)ハンドラに欠陥が存在し,WebブラウザがWebページ内のハイパーリンク経由で悪意のあるアプリケーションを起動してしまう可能性があるのだ(関連記事:IE7とWindows XPの組み合わせに危険な脆弱性、マイクロソフトが公表)。
この問題は,セキュリティ研究者であるThor Larholm氏が2007年7月に発見した。WindowsのURIハンドラに「Internet Explorer(IE)7」を悪用して米Mozillaの「Firefox」へ不正なメッセージを送ることで,悪質なコードの遠隔実行を可能とするというもの。Larholm氏は発見当時「Internet ExplorerにおけるWebブラウザ間コマンド・インジェクションぜい弱性」として紹介した。
それ以降,多くのセキュリティ研究者が「Adobe Reader」や「Outlook Express」といったFirefox以外のアプリケーションで同様の問題が起こることを確認した。悪意を持った連中も同じ問題に気付いたはずだ。こうした結果から,特定のアプリケーションの問題ではなく,Webブラウザとほかのアプリケーション間で行うWindowsのメッセージ転送方法に原因があると考えられるようになった。
この問題についてMicrosoftは当初,「Webブラウザとやり取りするアプリケーションのサードパーティ・メーカーが,安全なアプリケーション間メッセージ交換の責任を負う」と主張した。しかし,ほとんどのセキュリティ研究者が異議を唱え,「(安全な)メッセージ交換機能をWindowsに搭載すべき」との見解を示した(関連記事:Mozilla,修正版「Firefox 2.0.0.5」でURIハンドラの欠陥問題に対処)。
ここに来てMicrosoftはセキュリティ研究者らの調査結果を認め,問題の修正を図ることを明らかにした。修正パッチをリリースできるまでのあいだ,Microsoftはセキュリティ情報を発行し,Windows XPまたはWindows Server 2003上でIE 7を動かす環境の危険性をユーザーに警告する(Windows Vistaでこの問題は発生しないという)。ただし,問題の回避方法はないようだ。
