IEとFirefoxに脆弱性--実証コードも公開に

　MicrosoftのInternet Explorerに2件の脆弱性が見つかった。そのうち1件はMozillaのFirefoxにも影響すると、セキュリティ専門家らが注意を呼びかけている。

　ネットワーク上の脅威を監視するSANS Internet Storm Centerは米国時間6月28日に勧告を出し、既に両脆弱性を悪用するコードが公開されているものの、攻撃例については今のところ報告されていないと発表した。

　勧告によると、IEとFirefoxの両ブラウザに影響する脆弱性は、あるウェブサイトから別のウェブサイトに配信されたドキュメントへのアクセス処理方法に関するものだという。

　McAfeeのGlobal Threat Groupでシニアマネージャーを務めるMonty Ijzerman氏によると、IEやFirefoxに存在する同脆弱性はクロスサイトスクリプティングと呼ばれる手口を使って悪用される可能性があるという。この手口を使って攻撃者は、ユーザーのシステム上で開かれているブラウザ上のコンテンツを、別のブラウザから盗み見ることができる。その結果、攻撃者は、ユーザーのネットバンキングデータなど、機密性の高い情報を持ち出すことができる。

　「この脆弱性は、IEのほかの脆弱性ほど深刻ではないと考えている。まず、ユーザーが複数のブラウザを開いている必要があるし、ブラウザ上に攻撃者の望んでいる情報が出てこなければならないからだ」とIjzerman氏は述べている。

　2つ目の脆弱性はHTAの処理方法に関連する。Ijzerman氏によると、攻撃者は同脆弱性を悪用してユーザーに悪質なファイルをダブルクリックさせ、遠隔地からコードを実行することができてしまうという。悪用例としては、システム上のファイルを参照したり、rootkitをインストールすることなどが考えられる。rootkitとは、悪質なファイルなどをユーザーから見られないように隠してしまうためのツールのこと。

　IEに存在した2件の脆弱性は、折りしもMicrosoftがセキュリティ機能の拡張を狙って開発したIE 7の最終ベータ版のリリースと同じくらいのタイミングで明るみになった。

　Microsoftは、2件の脆弱性について現在調査中だと述べ、悪用例についてはまだ報告されていないと付け加えた。

　Mozillaからはコメントを得ることができなかった。