IE6・IE7・IE8・IE9にあるXML絡みの情報漏洩の脆弱性は修正予定なし

by Wolfgang Lonien

IEファミリーの中でIE10へのユーザ移行は着実に進んでいるようですが、本日、IE6～IE9に情報漏洩の脆弱性が明らかになりました。この脆弱性は修正される予定がないとのことで、脆弱性情報とその対策を提供しているJVNでは、該当するユーザに対してIE10へのアップグレードを推奨しています。

JVN#63901692: Internet Explorer における情報漏えいの脆弱性
http://jvn.jp/jp/JVN63901692/

Internet ExplorerはXMLファイルの取り扱いに問題があるため、細工されたXMLファイルをローカルファイルとして開いたときに、別のローカルファイルの内容が漏洩する可能性があるとのこと。

これは、ユーザが「XMLファイルをローカルファイルとして開く」という操作をしない限りは攻撃が成立しないため、ユーザ関与の評価値は「中」となっていますが、インターネット経由での攻撃が可能で、また攻撃時に認証が必要なく、専門知識がなくても攻撃ができることから、危険性はかなり高いと評価されています。

対応策としては「ローカルディスク上に信頼できないファイルを保存しない」ことで影響を軽減することができますが、Microsoftではこの脆弱性についていずれのIEでも修正する予定はないとのこと。このタイミングで脆弱性が発覚し、しかもMicrosoftが対応しないというのは、移行を促すための策ではないのかという気がしてしまいますが、Windows 7以降・Windows Server 2008 R2以降のWindowsを使用している人は速やかにInternet Explorer 10へアップグレードしておいた方が安全です。

なお、つい先日の調査結果によるとIE6のシェアが6.03％、IE7のシェアが1.78％、IE8のシェアが22.99％、IE9のシェアが15.39％とのことなので、影響範囲はかなり広範囲になりそう。