Microsoft Internet Explorer(IE)に情報漏えいの脆弱性が確認される

Tweet

マイクロソフト社は2月4日、Internet Explorer(IE)に情報漏えいの可能性のある脆弱性が確認されたとして、セキュリティアドバイザリー(980088)を公開した。

この脆弱性が悪用されると攻撃者がPC内のファイルにアクセスし、情報漏えいの可能性があるというものだ。この脆弱性の悪用には、あらかじめファイルの場所と名前の情報が必要となる。この脆弱性を報告したセキュリティ研究者メディーナ氏は、固定パスに保存されているシステム設定などが狙われる可能性が高いと警告している。なお、マイクロソフト社によると、現時点でこの脆弱性を悪用した攻撃は確認されていないという。

対象となるのはWindows XP/2000/2003 上のIE 8/ 7/ 6/ 5.01である。Vista以降のOSについては、標準でIEの保護モードが有効になっているため、この脆弱性が悪用されることを防ぐという。

この脆弱性に対する更新プログラムは開発中で、月例または定例外のセキュリティアップデートを通じて配布する予定という。マイクロソフト社は更新プログラムがリリースされるまでの間の回避策「Fix it」を公開しているので、詳細を参照の上、適用されることを推奨する。

・マイクロソフト セキュリティ アドバイザリ (980088)
・「Fix it」のダウンロードページ(マイクロソフト サポート オンライン)
・IEに情報流出の脆弱性、Microsoftがアドバイザリー公開(ITmedia)
・IEに情報漏えいの脆弱性、MSがセキュリティアドバイザリを公開(INTERNET Watch)
・IEにローカル・ファイルへの不正アクセスを許す脆弱性――Black Hat講演者が報告(Computerworld.jp)