IEにもFirefoxにもJavaScript処理の脆弱性--次期リリースで修復へ

文:Joris Evers(CNET News.com) 翻訳校正:尾本香里(編集部)2006年06月09日 12時21分

 MicrosoftとMozillaが、両社のウェブブラウザに存在するセキュリティホールが侵入者によって悪用され、ファイルを盗まれるおそれがあることを認めた。だが、こうした悪用は条件的に難しく、リスクはそれほど大きくないとも話している。

 セキュリティ専門家は今週に入って、「Internet Explorer(IE)」および「Firefox」、そしてMozillaのその他のブラウザでJavaScriptを処理する方法に脆弱性があると警告していた。攻撃者がこうした問題を悪用して、ファイルを不正にアップロードする可能性があり、マシンユーザーの個人情報が危険にさらされるというのである。

 しかし、ユーザー側が多くの操作を行わなければ同脆弱性の悪用は難しいことから、MicrosoftおよびMozillaは差し迫った危険はなく、修正パッチをすぐにリリースする必要もないと考えている。関係者によれば、両社はブラウザの次期リリースでこのバグを修復する予定だというが、アップデートされるバージョンの詳細やその時期については明らかになっていない。

 Microsoftの関係者は、「同脆弱性は、悪質な攻撃者がこれを悪用し、ユーザーのマシンにコード攻撃を仕掛けるといった事態を招くものではない。ユーザーにさまざまな操作をさせ、その結果として情報を漏洩させる性質のものだ。Microsoftは、今後リリースするIEの中でこうした問題を解決していく」と、電子メールによる声明に記している。

 Mozillaのエンジニアリング担当バイスプレジデントMike Schroepfer氏も、同様の声明を発表している。「悪用するにはユーザーに一定の作業を行わせなければならず、リモートコードの実行も不可能であることから、この脆弱性は比較的危険度が低いと言える。とはいえ、いかなる問題に対しても当社は真剣に対処している。Firefoxの今後のバージョンで、今回の脆弱性に修復を施すつもりだ」(Schroepfer氏)

 同脆弱性は、JavaScriptのOnKeyDownイベントに関係がある。SymantecおよびSecuniaが今週初めに発表したセキュリティ警告情報によると、攻撃者は悪質なウェブサイトを製作し、ユーザーのキーストロークを隠されたファイルアップロード用のダイアログボックスにひそかに記録して、その後アップロードを実行するのだという。

 この攻撃を成功させるためには、標的としたユーザーに、攻撃者がダウンロードを望むファイルの完全なパスを入力させねばならない。「これを実現するには、標的のユーザーに相当量の文字をタイプさせる必要がある」と、セキュリティ企業Symantecは述べている。攻撃者は、キーボードを使うゲームやブログなどのウェブページを利用して、この脆弱性を悪用する可能性があるという。

 Microsoftは、現時点では同脆弱性を悪用した悪質なコードの存在は確認されていないと話している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]