セキュリティ専門家、IEの画像処理に関する脆弱性を警告

Ingrid Marson (ZDNet UK)2005年07月22日 11時16分

 Microsoft Internet Explorer(IE)の画像レンダリング機能に脆弱性が見つかったと、セキュリティ専門家が警告を発している。この専門家によれば、攻撃者はこの脆弱性を利用してリモートから悪質なコードを実行することが可能であるという。

 セキュリティコンサルタントで著作家のMichal Zalewskiは、IEのJPEG画像の処理方法に、脆弱性と思われる箇所が複数あることを発見したという。これらの脆弱性のなかには、攻撃者がリモートから任意のコードを実行することを可能にするものもあるという。セキュリティベンダー各社は、このようなタイプの脆弱性の脅威度を通常、「重大」と評価する。

 Zalewskiはウェブサイトで、これらの脆弱性の存在を実証する4枚の画像を公開した。これらはどれも、IE 6に影響すると同氏は述べる。SecurityFocusが公開した情報によると、以前のバージョンのIEもこれらの脆弱性の影響を受ける可能性があるという。これらの画像が示す脆弱性のうち2件は、メモリやCPUの問題も引き起こす。

 Zalewskiは、これらの脆弱性について、Microsftに事前に知らせなかったという。同氏は、その理由を、Microsoftのバグレポートプロセスに問題があると考えているためとしている。

 ZalewskiはセキュリティサイトNeophasisで、「Microsoftにセキュリティ上の問題を報告し、意見交換するのは、いたずらに時間がかかるばかりで、研究者側の負担や苦労が余りにも大きい。悪用されてもシステムがクラッシュする程度の問題なら、なおさらだ。だから、わたしはMicrosoftに事前に報告するようなことはしなかった」と述べている。

 「Microsoftでは、IEに存在するとされる脆弱性について、新たに発表されたレポートを調査中だ。これらの脆弱性を悪用した攻撃については、まだ報告を受けていない。調査が完了した時点で、顧客を保護するための適切な対策を講じる。ただ、IEの脆弱性ではないかとされる問題が、無責任な方法で公開され、その結果コンピュータユーザーが危険にさらされていることを遺憾に思う」(Microsoft関係者)

 今週に入り、IEとMSN Messengerの画像処理に関する別のセキュリティ脆弱性も明らかになった。この脆弱性は、IEやMSN MessengerにおけるICCプロファイルの処理方法に起因するものだったが、Microsoftはすでに、この問題を修正するパッチを公開している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]