2004年08月23日(月) 00時52分

IEに欠陥--Windows XP SP2適用後も悪質プログラムに感染（CNET Japan）

　Microsoftの最新セキュリティパッチを適用している場合でも、ドラッグアンドドロップ操作で悪質なプログラムに感染してしまう脆弱性がInternet Explorer（IE）に存在する、とある独立系セキュリティ研究者が警告を発した。

　この欠陥は、Windows XP上で稼動する最新バージョンのIEに関係するもので、最新の大型アップデートService Pack 2（SP2）を適用しても修正されない。攻撃者は悪質な細工をしたウェブサイトに被害者を誘導して画像をクリックさせ、この欠陥を悪用して被害者のコンピュータにプログラムをインストールするおそれがある。

　攻撃者がインストールしたプログラムはWindowsのスタートアップフォルダに配置され、ユーザーが次にコンピュータを起動する際に実行される。この欠陥を発見したセキュリティ研究者「http-equiv」（オンラインでのニックネーム）は、この欠陥の威力をこのように紹介している。「ユーザーがこのウェブページで目にするのは2本の赤い線と画像だけだ。この画像を2本の線の間にドラッグしてドロップすると、実際には（プログラムを）ユーザーのスタートアップフォルダにダウンロードする操作をしたことになる。ユーザーが次にコンピュータを起動するときに、そのプログラムが実行される」

　セキュリティ情報会社Secuniaは、この欠陥を悪用するプログラムは今後さらに簡素化され、ユーザーが1回クリックするだけで感染するようになるだろうと考えている。Secuniaではこの欠陥を、同社の脆弱性リスク評価で2番目に高い「非常に重大」と評価している。

　攻撃者がこの欠陥を悪用しようと思ったら、まずユーザーをウェブサイトにアクセスさせ、しかもサイト上で何かしら行動をとるよう誘導しなければならない。そのため、ユーザーにとって深刻なリスクにはならない、とMicrosoftはいう。

　「Microsoftでは、攻撃実行には相当量のユーザーアクションが必要なことを考慮し、この問題が顧客に対する大きなリスクになるとは考えていない」と同社の代表者はコメントし、社内ではセキュリティ専門家が問題を引き続き調査していると付け加えた。

　セキュリティ研究者らは、Windows XP SP2には脆弱性がすぐに見つかると予想していた。おそらく今回のドラッグアンドドロップの脆弱性は、これまでSP2適用後のコンピュータに見つかったなかで、最も深刻な欠陥といえるだろう。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

関連記事
Windows XP Service Pack 2、個人ユーザー向けの配布も始まる - 2004/08/20 11:01
Windows XP SP2にさっそく脆弱性--セキュリティ専門家らが指摘 - 2004/08/19 12:15
マイクロソフト、自動更新経由でのSP2配布を延期 - 2004/08/18 09:58
マイクロソフト、SP2で不具合発生のプログラム約50種を公表 - 2004/08/17 11:18


　■CNET Japanニューズレター（無料）
　 毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/

http://headlines.yahoo.co.jp/hl?a=20040823-00000002-cnet-sci