マイクロソフトは本日、セキュリティアドバイザリ2501696「MHTMLの脆弱性により情報漏えいが起こる可能性」を公開しました。このアドバイザリは、Windowsの全バージョンにおいてクロスサイトスクリプティング(XSS)攻撃の危険性があるMHTMLプロトコルハンドラーの脆弱性に対処しています。
Microsoft Security Response Center (MSRC) のブログでは、ユーザーがこの脆弱性を狙った悪意のあるリンクを受け取った場合の攻撃の仕組みについて、より詳細に説明しています。「ユーザーがそのリンクをクリックすると、悪意のあるスクリプトがユーザーのコンピュータ上で、Internet Explorer セッションの終了まで実行されます。このようなスクリプトは、ユーザー情報(例:メール)を収集したり、ブラウザに表示されるコンテンツを偽装したり、その他ユーザーエクスペリエンスを妨害したりする可能性があります。」
QualysのCTOであるWolfgang Kandek氏は、自身のブログでこの問題についてさらに詳しく説明しています。「XSS攻撃は、ユーザーのInternet Explorerインスタンス上でJavaScriptコードを実行するために利用されます。これにより、攻撃者はブラウザに保存されている情報にアクセスし、ソーシャルエンジニアリングを通じてユーザーを誘導して不要なコードをインストールさせる仕組みを手に入れることになります。」
McAfee LabsのMcAfee Threat Intelligence Serviceマネージャー、ジム・ウォルター氏は、これが深刻な脅威ではないと考えています。少なくとも差し迫った脅威ではないと考えています。「最近の他のゼロデイ脆弱性と比較すると、影響範囲と影響は比較的限定的です。現在入手可能な情報に基づくと、悪用されると、(クライアントのIEセッション内で)任意のスクリプトが実行され、機密情報が漏洩する可能性があることを認識しています。」
nCircleのセキュリティオペレーションディレクター、アンドリュー・ストームズ氏は、次のようなコメントをメールで送っています。「一見すると、本日のアドバイザリは、サポートされているすべてのWindowsプラットフォームに影響を与えるため、厳しい状況に見えます。しかし、概念実証コードが公開されているとはいえ、この複雑なクロスサイトスクリプティングのようなバグを利用した攻撃を実行するのは容易ではありません」と付け加え、「そのため、攻撃は差し迫ったものではないと思われますが、ユーザーはアドバイザリに記載されている緩和策に従うべきです」と付け加えています。
MSRCのブログでは、セキュリティアドバイザリに記載されている緩和策に従うことを推奨しています。「お客様に推奨している回避策は、MHTMLプロトコルをロックダウンし、問題が存在するクライアントシステム上で問題を効果的に解決します。」
Kandek氏は、Internet Explorer以外のブラウザを使用するメリットを示唆しています。「この脆弱性はWindowsコンポーネントに存在しますが、既知の攻撃経路はInternet Explorerのみです。FirefoxとChromeは、特定のアドオンモジュールをインストールしないとMHTMLをサポートしないため、デフォルト設定では影響を受けません。」
