IEにまた新たな欠陥--悪質なファイルをダウンロードのおそれ

　あるセキュリティサービスベンダーが、MicrosoftのInternet Explorerで新しい脆弱性が見つかったと警告している。この脆弱性が悪用されると、ウェブユーザーがだまされて悪質なファイルをダウンロードする可能性があるという。

　デンマークのSecuniaというベンダーは、この欠陥の疑いのある問題の詳細を公表し、同社が先に報告した「なりすまし」の欠陥と併用される可能性があるとしている。

　Microsoftの関係者にコメントを求めたが、すぐに回答を得ることはできなかった。

　今回公表された新しい欠陥が悪用されると、悪質なウェブサイトの運営者がダウンロード可能なファイルに故意に違った名前をつけ、悪質なプログラムファイルを安全なファイルであるかのように表示できてしまう。たとえば、ウェブサイトにアクセスしたユーザー自身はAdobeのPDF形式の書類だと思ってダウンロードしたものが、実は新たに登場したMyDoomワームなど、悪質な自動実行形式のプログラムだった、ということが起こり得る。

　Secuniaの勧告には、このセキュリティホールがどう悪用されるかを示したオンラインテスト形式の解説も含まれている。同社によると、このセキュリティホールは現行のInternet Explorerのバージョン6で発見されたが、旧バージョンのIEにも影響があるかもしれないという。Secuniaにもコメントを求めたが回答は得られなかった。

　この欠陥の疑いのある問題は、Secuniaが先月発見したIEの別のセキュリティホールと併せて使われた場合、特に効果が大きくなる恐れがある。こちらの欠陥は、ウェブサイトの運営者がInternet Explorerのアドレスバーやステータスバーに異なるアドレスを表示し、自分のサイトの身元を偽装できるようになるというものだ。

　Microsoftはまだ、この脆弱性に修正するパッチをリリースしていないが、「なりすまし」サイトを回避するためのヒントを示したティップスを公開し、「あるウェブサイトにアクセスしたい場合、リンクをクリックするのではなく、そのサイトのURLを自分でアドレスバーに入力すること」などの注意を促している。

　この欠陥に対するMicrosoftの対応の遅れはセキュリティ専門家から非難を浴び、あるオープンソースのプログラミンググループでは、この欠陥に対応するパッチを自分たちで開発してしまった。

　Microsoftは昨年、セキュリティホールへの対応に関する新しいポリシーを定め、小規模なアップデータを小刻みに配付するのではなく、1カ月に1回のパッチリリースでまとめて修正に対応することにした。