Internet Explorerに新たな脆弱性が見つかった。影響を受けるのは Windows 7/8.1上で実行される Internet Explorer 10/11。現時点で攻撃への悪用は確認されていないが、セキュリティ企業などが注意を呼びかけている。
トレンドマイクロとシマンテックは4日、ブログでこの脆弱性について注意を呼びかけている。今回見つかった脆弱性を悪用されると、JavaScriptで任意のサイトを制御されるおそれがある。
Internet Explorerを含め、ブラウザはすべて、表示するページやその中のフレーム内ページ、スクリプトなどがどのサイトのものなのかを識別しており、セキュリティ上の問題を引き起こすような操作はサイトをまたがって行えないよう制限している。今回の脆弱性を悪用すると、この制限が回避できてしまう。
攻撃者はまず、悪質なJavaScriptを置いた攻撃サイトを用意する。この攻撃サイトにユーザーをいったん誘導し、その後、ターゲットのサイト(制御をもくろんでいるサイト)を開かせるなどしてJavaScriptを実行する。脆弱性によって、本来ならばターゲット上のスクリプトとしては実行できないものが、実行できてしまうのだ。その結果、ユーザーは、Internet Explorerに保存されている認証情報やCookieを盗み取られたり、悪質なサイトに誘導されたり、表示された偽のログイン画面にIDやパスワードを書き込んで盗み取られてしまうといった、さまざまな被害にあうおそれがある。
JavaScriptを無効にすると被害にあうことはないが、サイトの閲覧が著しく不便になるので、現実的な解決策とは言えない。攻撃サイトに誘導されるのを防ぐため、ネットユーザーとしてはごく当たり前の心がけだが、メールに記載されているリンクやメッセージ上の短縮URLを安易にクリックしないよう気を付けたい。可能なら、脆弱性が修正されるまでの間、Internet Explorer以外のブラウザを利用するのもいいだろう。
(2015/02/09 ネットセキュリティニュース)
【関連URL】
・Internet Explorerのゼロデイ脆弱性を確認、Universal XSS攻撃の危険性(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/10879
・Internet Explorer で発見されたユニバーサルクロスサイトスクリプティング(UXSS)の脆弱性(シマンテック)
http://www.symantec.com/connect/blogs/internet-explorer-uxss
・Vulnerability Summary for CVE-2015-0072[英文](NVD)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0072