［世界］
IE6にゼロデイ攻撃の危険性――実証コード公開でも修正パッチは配布されず

ブラウザ上でのあらゆる作業を追跡／捕捉されるおそれも

（2008年07月01日）

Yichong Lin氏はMcAfeeのセキュリティ・ブログで、同脆弱性について報告している

　米国Microsoftが提供しているWebブラウザ「Internet Explorer（IE） 6」に、脆弱性対策が公開される前に攻撃される、いわゆる「ゼロデイ攻撃」の危険性が指摘されている。複数のセキュリティ研究者によると、IE 6 には修正パッチが配布されていない脆弱性があり、クロスサイト・スクリプティング攻撃に遭うおそれもあるという。

　米国McAfeeでアナリストを務めるイーチョン・リン（Yichong Lin）氏は、5月上旬に開催されたMicrosoftのセキュリティ・コンファレンス「BlueHat Security Briefings 2008」で、同脆弱性がセキュリティ研究者のマヌエル・キャバレロ（Manuel Caballero）氏やフカミ（Fukami）氏が指摘した脆弱性の亜種であるとの見方を示した。

　Microsoftの依頼を受けて調査を行っているCaballero氏は、「（同脆弱性を悪用すれば）パスワード入力に使われるキーストロークなど、ブラウザ上でのあらゆる作業を追跡／捕捉できる」と警鐘を鳴らしている。

　同脆弱性の追跡調査を実施しているデンマークのセキュリティ・ベンダーSecuniaによると、中国語のセキュリティWebマガジンには「Ph4nt0m Security Team」を名乗るグループが、同脆弱性についての詳細な情報と実証コードを公開しているという。

　Secuniaは同脆弱性について、「ウィンドウ・オブジェクトの『location』または『location.href』プロパティを処理する際に発生する入力検証機能のエラーに起因する。悪意のあるWebサイトが同脆弱性を悪用すれば、クロスサイト・スクリプティングが可能になる」と説明している。

　SecuniaとMcAfeeによると、最新バージョンであるIE 7には、同脆弱性は存在しないという。このため両社は、MicrosoftがIE 6用の修正パッチをリリースするまで、IE 7を使うよう勧めている。

　Yichong氏によると、同社はMicrosoftに同脆弱性について通知したという。なお、IDG News ServiceがMicrosoftの担当者に確認とコメントを求めたが、回答は得られなかった。

(Gregg Keizer／Computerworld米国版)