マイクロソフトは、Internet Explorer が最小化されている場合でも、他のユーザーが画面上のマウス カーソルの位置を追跡できる可能性があるバグを調査中であると述べています。
広告分析会社Spider.ioの研究者がこの機能を発見し、10月初旬にMicrosoftに報告しました。彼らはInternet Explorer(IE)のバージョン6から10に脆弱性を発見しました。この脆弱性により、マウスカーソルを画面上の任意の場所で追跡することができ、仮想キーボードや仮想キーパッドのセキュリティが侵害される可能性があります。
以下は、このエクスプロイトのビデオデモです。
マイクロソフトはこの問題を認識していましたが、ブラウザの最新のパッチアップデートでは修正されていません。現時点でマイクロソフトは、サイトはマウスの状態しか表示できず、ユーザーが操作している実際のコンテンツは表示できないという証拠を示していると主張しています。
同社は現在、脆弱性に対処するために他社と緊密に協力していると述べている。
「現在わかっていることからすると、根本的な問題は消費者の安全やプライバシーよりも、分析企業間の競争に関係している」とIEを監督するマイクロソフト副社長ディーン・ハチャモビッチ氏はブログ投稿で述べた。
「IEにおけるこの動作の修正に積極的に取り組んでいます。他のブラウザにも同様の機能があります。アナリティクス企業は、他のブラウザと同様にIEでも視点検出を行うようになると予想されます」とハチャモビッチ氏は付け加えた。「この動作が実際に使用されていると報告されているのは、Spider.ioの競合他社がアナリティクスを提供しているケースのみです。この動作を理論上利用して消費者の安全やプライバシーを侵害する可能性については、マイクロソフトのセキュリティチームが業界全体の研究者と協議を重ねてきました。」
ハチャモビッチ氏は、この脆弱性を悪用するためにすべての適切なピースを揃えることは「想像しがたい」ことであり、「現時点では消費者にとってのリスクは非常に小さい」と述べている。
