2004年11月18日(木) 11時51分

IEに新たに3つの脆弱性--2カ月間で19件が明らかに（CNET Japan）

　セキュリティ情報プロバイダのSecuniaは米国時間17日、Microsoft IEバージョン6の脆弱性が今週新たに3つ発見されたことを明らかにした。これにより、ここ2カ月間で明らかにされたIEの脆弱性は、Microsoftが10月の定例パッチで修正した8件を含め、19件に達した。

　Secuniaによると、これらの脆弱性は2人の研究者が別々に発見したものだという。このうちの2つの脆弱性を悪用すると、ファイルに有害なプログラムが含まれる可能性を警告するWindows XP Service Pack 2（SP2）の機能を迂回できてしまうとSecuniaは述べた。また、3つめの脆弱性を利用すると、攻撃者はサイトのCookieを上書きしてセッションをハイジャックすることが可能になるという。この問題は、認証時のセキュリティに不備があるサイトで発生する。

　Secuniaはこれらの脆弱性を、それぞれ「やや深刻」と「深刻ではない」に分類している。

　MicrosoftはCNET News.comに送付した声明のなかで、「現時点では、脆弱性を利用した攻撃や被害について報告を受けていない。しかし、われわれは公開された報告をもとに調査を進めている」と述べている。

　Microsoftはユーザーに対し 同社のセキュリティ情報サイト か、個人ユーザー向けの PC Protectサイト を参照するように勧めている。またその一方で同社は、問題解決にあたる時間を同社に与えず、欠陥を突然発表したとして、研究者らを非難した。

　「Microsoftは、IEの脆弱性が責任ある形で報告されず、ユーザーを危険にさらす結果になってしまったことを遺憾に思う。脆弱性はベンダに直接報告するのが常識で、これが誰にとっても最善の方法である」（Microsoft声明）

　しかし、セキュリティ研究者やハッカーらは、同社によるいつもの非難声明を気にもとめていない。彼らはここ2カ月の間、Internet Explorerの重大な脆弱性や、Windows XP SP2のセキュリティ欠陥を多数発表している。

　発表されたIEの重大な脆弱性を悪用したウイルスも既に出現している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

関連記事
真相はいかに--英セキュリティ企業、Windows XP SP2の欠陥をリーク - 2004/11/15 10:43
最新のMyDoom亜種、マイクロソフトの月例パッチリリースに挑戦か - 2004/11/11 09:13
IEの欠陥をつくエクスプロイトコードが登場--深刻度は最高レベルに - 2004/11/05 10:45

　■CNET Japanニューズレター（無料）
　 毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/

http://headlines.yahoo.co.jp/hl?a=20041118-00000003-cnet-sci