セキュリティ関連のメーリング・リスト「Bugtraq(→ Bugtraqのアーカイブ・サイトへ」などへの投稿(Marek
Bialoglowy氏のFlooding
Internet Explorer 6.0.2800 (6.x?) security zones ! [CRITICAL])によると、Internet
Explorerのiframeタグ(HTMLでフローティング・フレームをサポートするためのタグ)の処理に脆弱性があるようです。この脆弱性は、簡単に悪用が可能であり、すでに攻撃方法もメーリング・リストなどで公開されているため、非常に危険性が高くなっています。
通常、iframeタグは、HTMLで記述されたWeb ページでフローティング・フレームをサポートするために用いられますが、そこに実行ファイルを指定することで、ユーザーにファイルのダウンロードを促すダイアログ・ボックスを表示させることが可能です。ところが、Internet
Explorerによるiframeタグの処理に脆弱性があり、iframeタグを大量に連続して記述すると、ダイアログ・ボックスが次々と表示された上、ユーザーの意図とは無関係に実行ファイルがダウンロードされ、自動的に実行されてしまうことがあるようです。実際、投稿者が検証用に作成したWebページへアクセスしたところ、次々とダイアログ・ボックスが表示された後、何の操作を行わないのにもかかわらず、ファイルがダウンロードされ、自動的に実行されてしまいました。この実行ファイルは、ユーザーの権限で実行されます。システムを破壊するような悪意のあるプログラムが自動的に実行されてしまう危険性もありますので、十分にご注意ください。
なお5月20日現在、この脆弱性に関するマイクロソフトからの情報ならびに修正プログラムは提供されていません。
|