IEに欠陥--Windows XP SP2適用後も悪質プログラムに感染

Robert Lemos(CNET News.com)2004年08月23日 00時49分

 Microsoftの最新セキュリティパッチを適用している場合でも、ドラッグアンドドロップ操作で悪質なプログラムに感染してしまう脆弱性がInternet Explorer(IE)に存在する、とある独立系セキュリティ研究者が警告を発した。

 この欠陥は、Windows XP上で稼動する最新バージョンのIEに関係するもので、最新 の大型アップデートService Pack 2(SP2)を適用しても修正されない。攻撃者は悪質な細工をしたウェブサイトに被害者を誘導して画像をクリックさせ、この欠陥を悪用して被害者のコンピュータにプログラムをインストールするおそれがある。

 攻撃者がインストールしたプログラムはWindowsのスタートアップフォルダに配置され、ユーザーが次にコンピュータを起動する際に実行される。この欠陥を発見したセキュリティ研究者「http-equiv」(オンラインでのニックネーム)は、この欠陥の威力をこのように紹介している。「ユーザーがこのウェブページで目にするのは2本の赤い線と画像だけだ。この画像を2本の線の間にドラッグしてドロップすると、実際には(プログラムを)ユーザーのスタートアップフォルダにダウンロードする操作をしたことになる。ユーザーが次にコンピュータを起動するときに、そのプログラムが実行される」

 セキュリティ情報会社Secuniaは、この欠陥を悪用するプログラムは今後さらに簡素化され、ユーザーが1回クリックするだけで感染するようになるだろうと考えている。Secuniaではこの欠陥を、同社の脆弱性リスク評価で2番目に高い「非常に重大」と評価している。

 攻撃者がこの欠陥を悪用しようと思ったら、まずユーザーをウェブサイトにアクセスさせ、しかもサイト上で何かしら行動をとるよう誘導しなければならない。そのため、ユーザーにとって深刻なリスクにはならない、とMicrosoftはいう。

 「Microsoftでは、攻撃実行には相当量のユーザーアクションが必要なことを考慮 し、この問題が顧客に対する大きなリスクになるとは考えていない」と同社の代表者はコメントし、社内ではセキュリティ専門家が問題を引き続き調査していると付け加えた。

 セキュリティ研究者らは、Windows XP SP2には脆弱性がすぐに見つかると予想していた。おそらく今回のドラッグアンドドロップの脆弱性は、これまでSP2適用後のコンピュータに見つかったなかで、最も深刻な欠陥といえるだろう。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]