ソフトウェア

IE6・IE7・IE8・IE9にあるXML絡みの情報漏洩の脆弱性は修正予定なし

by Wolfgang Lonien

IEファミリーの中でIE10へのユーザ移行は着実に進んでいるようですが、本日、IE6~IE9に情報漏洩の脆弱性が明らかになりました。この脆弱性は修正される予定がないとのことで、脆弱性情報とその対策を提供しているJVNでは、該当するユーザに対してIE10へのアップグレードを推奨しています。

JVN#63901692: Internet Explorer における情報漏えいの脆弱性
http://jvn.jp/jp/JVN63901692/



Internet ExplorerはXMLファイルの取り扱いに問題があるため、細工されたXMLファイルをローカルファイルとして開いたときに、別のローカルファイルの内容が漏洩する可能性があるとのこと。

これは、ユーザが「XMLファイルをローカルファイルとして開く」という操作をしない限りは攻撃が成立しないため、ユーザ関与の評価値は「中」となっていますが、インターネット経由での攻撃が可能で、また攻撃時に認証が必要なく、専門知識がなくても攻撃ができることから、危険性はかなり高いと評価されています。


対応策としては「ローカルディスク上に信頼できないファイルを保存しない」ことで影響を軽減することができますが、Microsoftではこの脆弱性についていずれのIEでも修正する予定はないとのこと。このタイミングで脆弱性が発覚し、しかもMicrosoftが対応しないというのは、移行を促すための策ではないのかという気がしてしまいますが、Windows 7以降・Windows Server 2008 R2以降のWindowsを使用している人は速やかにInternet Explorer 10へアップグレードしておいた方が安全です。

なお、つい先日の調査結果によるとIE6のシェアが6.03%、IE7のシェアが1.78%、IE8のシェアが22.99%、IE9のシェアが15.39%とのことなので、影響範囲はかなり広範囲になりそう。

この記事のタイトルとURLをコピーする

・関連記事
IE6~10にマウスカーソルの位置を追跡される脆弱性、パスワードなど盗まれる恐れ - GIGAZINE

Windows版Safariユーザに使用停止勧告、脆弱性発覚が原因 - GIGAZINE

HP社のプリンターに脆弱性を発見、遠隔操作で着火される可能性を研究者が指摘 - GIGAZINE

UPnPの脆弱性が自分のルーターにあるかどうかがクリックするだけでわかる「Checkmyrouter」 - GIGAZINE

IE10のシェアが増加する一方でIE9のシェアは減少傾向、まもなくIE11も登場予定 - GIGAZINE

バッテリー消費量が最も少ない省エネブラウザはIE・Chrome・Firefoxのどれなのか? - GIGAZINE

「昔みたいにまた使ってよ」と呼びかけてくるノスタルジックなIEのムービー - GIGAZINE

in ソフトウェア, Posted by logc_nt

You can read the machine translated English article here.