セキュリティ・ベンダーのラックは7月31日,マイクロソフトから同日公開されたInternet Explorer(IE)のセキュリティ・ホールの危険性を警告した。同セキュリティ・ホールを突く攻撃手法は6月以降出回っているが,それ以外の手法でも攻撃が可能であることを確認したという。同社では,マイクロソフトが公開した修正パッチを適用するよう強く勧めている。

 マイクロソフトが今回のセキュリティ情報やパッチを公開する前から,「ナビゲーション メソッドのクロス ドメインの脆弱性」を突く「Download.Ject」が出回っていた(関連記事)。

 ラックでは,Download.Ject以外の手法でも,このセキュリティ・ホールを突けることを発見していたという。手法は異なるものの,Download.Jectと同様に,「マイコンピュータ」ゾーン(最も制限が緩いセキュリティ設定)で任意のプログラムを実行させることが可能である。

 同社では,この手法について6月11日にマイクロソフトへ報告し,以降,議論を続けていた。その時点では,マイクロソフトから「IEの次の修正プログラムで解消する予定」という回答を得ていたという。それが,今回公開された「MS04-025」のパッチである。

 加えて,ラックとマイクロソフトは「より多くのユーザーに対策を呼びかけることが必要」という意見で一致したという。

◎参考資料
SNS Spiffy Reviews No.14:Appendix to MS04-025 "Navigation Method Cross-Domain Vulnerability"

(勝村 幸博=IT Pro)