MicrosoftとMozillaが、両社のウェブブラウザに存在するセキュリティホールが侵入者によって悪用され、ファイルを盗まれるおそれがあることを認めた。だが、こうした悪用は条件的に難しく、リスクはそれほど大きくないとも話している。
セキュリティ専門家は今週に入って、「Internet Explorer(IE)」および「Firefox」、そしてMozillaのその他のブラウザでJavaScriptを処理する方法に脆弱性があると警告していた。攻撃者がこうした問題を悪用して、ファイルを不正にアップロードする可能性があり、マシンユーザーの個人情報が危険にさらされるというのである。
しかし、ユーザー側が多くの操作を行わなければ同脆弱性の悪用は難しいことから、MicrosoftおよびMozillaは差し迫った危険はなく、修正パッチをすぐにリリースする必要もないと考えている。関係者によれば、両社はブラウザの次期リリースでこのバグを修復する予定だというが、アップデートされるバージョンの詳細やその時期については明らかになっていない。
Microsoftの関係者は、「同脆弱性は、悪質な攻撃者がこれを悪用し、ユーザーのマシンにコード攻撃を仕掛けるといった事態を招くものではない。ユーザーにさまざまな操作をさせ、その結果として情報を漏洩させる性質のものだ。Microsoftは、今後リリースするIEの中でこうした問題を解決していく」と、電子メールによる声明に記している。
Mozillaのエンジニアリング担当バイスプレジデントMike Schroepfer氏も、同様の声明を発表している。「悪用するにはユーザーに一定の作業を行わせなければならず、リモートコードの実行も不可能であることから、この脆弱性は比較的危険度が低いと言える。とはいえ、いかなる問題に対しても当社は真剣に対処している。Firefoxの今後のバージョンで、今回の脆弱性に修復を施すつもりだ」(Schroepfer氏)
同脆弱性は、JavaScriptのOnKeyDownイベントに関係がある。SymantecおよびSecuniaが今週初めに発表したセキュリティ警告情報によると、攻撃者は悪質なウェブサイトを製作し、ユーザーのキーストロークを隠されたファイルアップロード用のダイアログボックスにひそかに記録して、その後アップロードを実行するのだという。
この攻撃を成功させるためには、標的としたユーザーに、攻撃者がダウンロードを望むファイルの完全なパスを入力させねばならない。「これを実現するには、標的のユーザーに相当量の文字をタイプさせる必要がある」と、セキュリティ企業Symantecは述べている。攻撃者は、キーボードを使うゲームやブログなどのウェブページを利用して、この脆弱性を悪用する可能性があるという。
Microsoftは、現時点では同脆弱性を悪用した悪質なコードの存在は確認されていないと話している。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」