【 ここから本文 】
- TOP
- > News : セキュリティ
- >
セキュリティ
ソーシャルブックマークに登録 :
印刷用ページの表示
[世界]
IE 7にまたセキュリティ上の問題──今度はIE 6と同じ脆弱性
(2006年10月31日)
デンマークのセキュリティ・コンサルティング会社セキュニアは10月30日、IE 7のユーザーはIDやパスワードをだまし取られる可能性があるとして注意を呼びかけた。IE6で指摘された脆弱性がIE 7でも見つかったからだ。
セキュニアのCTO(最高技術責任者)であるトーマス・クリステンセン氏によると、攻撃者によって作られたWebサイトにアクセスしたIE 7ユーザーが、その後、ポップアップ・ウィンドウを持つサイトにアクセスすると、攻撃者の側で新しいコンテンツをポップアップの中に入れることができるようになるという。このため、同サイトを訪れたユーザーに金融情報やパスワードを入力するよう求めるといったことが可能になる。
この脆弱性は、2年以上前の2004年6月でも問題になっている。マイクロソフトは当時、この脆弱性を回避するため、「異なるドメインでサブフレームをナビゲートする」という設定をIE6で無効にするよう呼びかけた。IE 7の場合はデフォルトでこの設定が無効になっているが、「設定を無効にするだけで攻撃を防げるとは思えない」というのがクリステンセン氏の見方だ。
クリステンセン氏によると、この問題はユーザーの指摘によるもので、マイクロソフトも不具合を認めているという。だが、マイクロソフトは10月30日の時点で、この問題に今すぐコメントすることはできないとしている。
セキュニアは現在、この問題の危険性を「中程度の深刻度」と格付けしている。同社によると、今のところこの脆弱性を悪用しようとしているWebサイトは確認されていない。とはいえ、「ずる賢い攻撃者であれば、先週発見されたポップアップ・スプーフィングに対する脆弱性と絡めてこの問題点につけ込むことも可能だろう」とクリステンセン氏は指摘している。
(ジェレミー・カーク/IDG News Service ロンドン支局)
