マイクロソフトは水曜日、インターネットエクスプローラーブラウザの欠陥により、特定の条件下で攻撃者がPCに保存されているファイルにアクセスできると警告した。
「これまでの調査で、ユーザーが保護モードで実行されていないバージョンのInternet Explorerを使用している場合、攻撃者が既知のファイル名と場所を持つファイルにアクセスできる可能性があることが判明しました」とマイクロソフトはセキュリティ勧告で述べた。
この脆弱性を利用するには、攻撃者がアクセスしたいファイルの名前を知っている必要があると同社は述べている。
今回の公開は、IEに影響を与える最新のセキュリティ問題です。先月、IE 6の未公開の脆弱性が、Googleを含む20社以上の米国企業を標的とした攻撃に利用されました。Googleは中国のせいだと非難しました。この脆弱性はその後、Microsoftによって修正されました。
この攻撃を受けて、Google は先週、3 月に Google Apps と Google Sites から始めて IE 6 のサポートを段階的に廃止すると発表した。
マイクロソフトによれば、水曜日に公開された IE の脆弱性は、ブラウザ内でローカル ファイルを不適切にレンダリングすることによって引き起こされ、Windows 2000 上の Internet Explorer 5.01 および IE 6、Windows 2000 Service Pack 4 上の IE 6、Windows XP および Windows Server 2003 上の IE6、IE 7、IE 8 など、複数のバージョンに影響を及ぼすという。
「保護モードは、この脆弱性の悪用を防ぎ、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 上の Internet Explorer のバージョンではデフォルトで実行されます」と同社は述べている。
マイクロソフトではこの欠陥を悪用した攻撃は確認されておらず、月次のセキュリティパッチリリースサイクルを通じてこの欠陥を修正するか、あるいは緊急のサイクル外アップデートを通じて修正するかをまだ決めていない。
