Microsoftの最新セキュリティパッチを適用している場合でも、ドラッグアンドドロップ操作で悪質なプログラムに感染してしまう脆弱性がInternet Explorer(IE)に存在する、とある独立系セキュリティ研究者が警告を発した。
この欠陥は、Windows XP上で稼動する最新バージョンのIEに関係するもので、最新 の大型アップデートService Pack 2(SP2)を適用しても修正されない。攻撃者は悪質な細工をしたウェブサイトに被害者を誘導して画像をクリックさせ、この欠陥を悪用して被害者のコンピュータにプログラムをインストールするおそれがある。
攻撃者がインストールしたプログラムはWindowsのスタートアップフォルダに配置され、ユーザーが次にコンピュータを起動する際に実行される。この欠陥を発見したセキュリティ研究者「http-equiv」(オンラインでのニックネーム)は、この欠陥の威力をこのように紹介している。「ユーザーがこのウェブページで目にするのは2本の赤い線と画像だけだ。この画像を2本の線の間にドラッグしてドロップすると、実際には(プログラムを)ユーザーのスタートアップフォルダにダウンロードする操作をしたことになる。ユーザーが次にコンピュータを起動するときに、そのプログラムが実行される」
セキュリティ情報会社Secuniaは、この欠陥を悪用するプログラムは今後さらに簡素化され、ユーザーが1回クリックするだけで感染するようになるだろうと考えている。Secuniaではこの欠陥を、同社の脆弱性リスク評価で2番目に高い「非常に重大」と評価している。
攻撃者がこの欠陥を悪用しようと思ったら、まずユーザーをウェブサイトにアクセスさせ、しかもサイト上で何かしら行動をとるよう誘導しなければならない。そのため、ユーザーにとって深刻なリスクにはならない、とMicrosoftはいう。
「Microsoftでは、攻撃実行には相当量のユーザーアクションが必要なことを考慮 し、この問題が顧客に対する大きなリスクになるとは考えていない」と同社の代表者はコメントし、社内ではセキュリティ専門家が問題を引き続き調査していると付け加えた。
セキュリティ研究者らは、Windows XP SP2には脆弱性がすぐに見つかると予想していた。おそらく今回のドラッグアンドドロップの脆弱性は、これまでSP2適用後のコンピュータに見つかったなかで、最も深刻な欠陥といえるだろう。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」