この際,ファイルのダウンロードを確認するダイアログ・ボックスは表示されない。バッチ・ファイルを作っておけば,ダウンロードしたプログラムをパラメータ付きで実行させることも可能だと言う。このため,悪意あるWebページを閲覧しただけで,ユーザはワームやウイルスに感染したり,バックドア・プログラムなどを仕掛けられる恐れがある。
このセキュリティ・ホールはラックの新井悠氏が2002年2月13日に発見し,3月18日に公開した(http://www.lac.co.jp/security/intelligence/SNSAdvisory/48.html )。IE6だけがこのホールを抱え,すべてのパッチ・プログラムを適用しても解消されない。
3月19日時点で,Microsoftはこのホールを塞ぐパッチ・プログラムを提供していない。このため,新井氏は「悪用される可能性が高く,現時点でこのホールに関する詳細を公開するのは難しい」と言う。
新井氏によると,この問題はスクリプトやActiveXとは関係ない。回避するには,IEの「インターネットオプション」から適切なゾーンに対して「ファイルのダウンロード」を無効にするしかない。早急な対処が必要だ。
(藤田 憲治=日経バイト)
