IEにまたパッチ未公開の脆弱性--セキュリティ専門家が警告

　「Internet Explorer（IE）」で発見された脆弱性が悪用されると、なりすまし攻撃や、脆弱なPC上のデータへの不正アクセス、データの改ざんが起こるおそれがあると、セキュリティ専門家が警鐘を鳴らした。

　セキュリティ研究家Amit Kleinの研究報告書によれば、MicrosoftがIEにJavaScriptコンポーネントを実装した方法に問題があったという。IEで「XmlHttpRequest」というコンポーネントが使用される際、PCから提供されたデータフィールドの一部の確認が行われないとKleinは述べている。

　この脆弱性は、特別に書かれたコードを用いて悪用される。攻撃者は正規のウェブサイトを装ってIEのキャッシュデータにアクセスしたり、ユーザーと他のウェブサイト間のトラフィックに割り込む中間者攻撃（man-in-the-middle attack）を行ったりすると、Kleinは報告書に記している。

　セキュリティ監視企業Secuniaの勧告には、「Service Pack 2」を適用したWindows XPおよびInternet Explorer 6.0を稼働させている、完全にパッチを適用したコンピュータで同脆弱性が確認されたと述べている。Secuniaでは同問題を「中程度に深刻」と評価しており、IEのセキュリティレベルを「高」に設定することで被害を防ぐことができるとしている。

　Microsoftの関係者は声明を発表し、同社がこの脆弱性報告に関して調査を進めていることを明らかにした。同関係者は、現時点ではこの脆弱性を悪用した攻撃は起こっていないと述べている。Microsoftは調査終了後ただちに、セキュリティアップデートもしくは緊急パッチを提供するものと考えられる。

　Microsoftは、こうした形で問題が公になるのを好ましく思っていない。同社はセキュリティ研究家に対して、修正パッチを提供しやすくするため、製品の問題に関する報告は同社に直接行うよう求めている。Microsoftの関係者は、「このような情報公開は、コンピュータユーザーにリスクをもたらす」と話した。

　ここ数週間で、複数のセキュリティ研究家が、Windowsの一部となっているIEの脆弱性を相次いで公表している。これらの脆弱性の中には、悪用されるとユーザーPCのコントロールを侵入者に奪われるという性質のものも含まれていた。Microsoftは9月初め、少なくとも1件のWindows用パッチを提供する予定だったが、品質に問題からリリースが遅れている。

　Secuniaは、86件に及ぶIEに関するセキュリティ勧告を発表しており、同社のデータベースではそのうち20件がいまだに「パッチ未公開」となっている。