セキュリティ・ベンダーのデンマークSecuniaは現地時間7月13日,メーリング・リストなどに投稿されたInternet Explorer(IE)に関する4種類のセキュリティ・ホールを取りまとめて公表した。セキュリティ・ホールを悪用されると,ユーザー・マシン上で任意のスクリプトを実行させられる可能性などがある。いずれのセキュリティ・ホールについても,米Microsoftはセキュリティ情報やパッチを公開していない。対策はアクティブ スクリプトを無効にすることなど。
Secuniaが検証した上で公表したセキュリティ・ホールは以下の4種類。
(1)セキュリティ設定を回避して任意のスクリプトを実行させられるセキュリティ・ホール
(2)あるオブジェクト(リンクや画像など)をマウスでクリックしただけで,ドラッグ・アンド・ドロップしたのと同じ結果が生じるセキュリティ・ホール(例えば,Webページ上のオブジェクトをクリックしただけで,ユーザー・マシン内のファイルにアクセスされる可能性がある)
(3)「お気に入り」に任意のスクリプトを埋め込まれるセキュリティ・ホール(スクリプトは最も制限が緩いローカル コンピュータ ゾーンのセキュリティ設定で実行される)
(4)ポップアップ・ウインドウを使って,画面表示を偽装されるセキュリティ・ホール(関連記事)
Secuniaによると,いずれのセキュリティ・ホールについても,すべてのパッチを適用したIE 6+Windows XP SP1の環境で影響を受けることを確認したという。7月14日に公開されたパッチにも,これらに関するパッチは含まれていない(関連記事)。
Secuniaでは(1)から(4)までの対策として,「アクティブ スクリプトを無効にする」「別のブラウザを使う」――ことを挙げている。ただし,別のブラウザでもセキュリティ・ホールは見つかっている。IEを使っている場合はもちろんのこと,別のブラウザを使う場合でも,そのブラウザのセキュリティ情報を絶えずチェックするようにしたい。
◎参考資料
◆Microsoft Internet Explorer Multiple Vulnerabilities
◆Similar Method Name Redirection Vulnerability
◆HijackClick 3
◆External AddChannel Cross Zone Scripting Vulnerability
(勝村 幸博=IT Pro)
