セキュリティ情報プロバイダのSecuniaは米国時間17日、Microsoft IEバージョン6の脆弱性が今週新たに3つ発見されたことを明らかにした。これにより、ここ2カ月間で明らかにされたIEの脆弱性は、Microsoftが10月の定例パッチで修正した8件を含め、19件に達した。
Secuniaによると、これらの脆弱性は2人の研究者が別々に発見したものだという。このうちの2つの脆弱性を悪用すると、ファイルに有害なプログラムが含まれる可能性を警告するWindows XP Service Pack 2(SP2)の機能を迂回できてしまうとSecuniaは述べた。また、3つめの脆弱性を利用すると、攻撃者はサイトのCookieを上書きしてセッションをハイジャックすることが可能になるという。この問題は、認証時のセキュリティに不備があるサイトで発生する。
Secuniaはこれらの脆弱性を、それぞれ「やや深刻」と「深刻ではない」に分類している。
MicrosoftはCNET News.comに送付した声明のなかで、「現時点では、脆弱性を利用した攻撃や被害について報告を受けていない。しかし、われわれは公開された報告をもとに調査を進めている」と述べている。
Microsoftはユーザーに対し同社のセキュリティ情報サイトか、個人ユーザー向けのPC Protectサイトを参照するように勧めている。またその一方で同社は、問題解決にあたる時間を同社に与えず、欠陥を突然発表したとして、研究者らを非難した。
「Microsoftは、IEの脆弱性が責任ある形で報告されず、ユーザーを危険にさらす結果になってしまったことを遺憾に思う。脆弱性はベンダに直接報告するのが常識で、これが誰にとっても最善の方法である」(Microsoft声明)
しかし、セキュリティ研究者やハッカーらは、同社によるいつもの非難声明を気にもとめていない。彼らはここ2カ月の間、Internet Explorerの重大な脆弱性や、Windows XP SP2のセキュリティ欠陥を多数発表している。
発表されたIEの重大な脆弱性を悪用したウイルスも既に出現している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス