セキュリティ専門家、IEの画像処理に関する脆弱性を警告

Ingrid Marson (ZDNet UK)

2005-07-22 11:16

 Microsoft Internet Explorer(IE)の画像レンダリング機能に脆弱性が見つかったと、セキュリティ専門家が警告を発している。この専門家によれば、攻撃者はこの脆弱性を利用してリモートから悪質なコードを実行することが可能であるという。

 セキュリティコンサルタントで著作家のMichal Zalewskiは、IEのJPEG画像の処理方法に、脆弱性と思われる箇所が複数あることを発見したという。これらの脆弱性のなかには、攻撃者がリモートから任意のコードを実行することを可能にするものもあるという。セキュリティベンダー各社は、このようなタイプの脆弱性の脅威度を通常、「重大」と評価する。

 Zalewskiはウェブサイトで、これらの脆弱性の存在を実証する4枚の画像を公開した。これらはどれも、IE 6に影響すると同氏は述べる。SecurityFocusが公開した情報によると、以前のバージョンのIEもこれらの脆弱性の影響を受ける可能性があるという。これらの画像が示す脆弱性のうち2件は、メモリやCPUの問題も引き起こす。

 Zalewskiは、これらの脆弱性について、Microsftに事前に知らせなかったという。同氏は、その理由を、Microsoftのバグレポートプロセスに問題があると考えているためとしている。

 ZalewskiはセキュリティサイトNeophasisで、「Microsoftにセキュリティ上の問題を報告し、意見交換するのは、いたずらに時間がかかるばかりで、研究者側の負担や苦労が余りにも大きい。悪用されてもシステムがクラッシュする程度の問題なら、なおさらだ。だから、わたしはMicrosoftに事前に報告するようなことはしなかった」と述べている。

 「Microsoftでは、IEに存在するとされる脆弱性について、新たに発表されたレポートを調査中だ。これらの脆弱性を悪用した攻撃については、まだ報告を受けていない。調査が完了した時点で、顧客を保護するための適切な対策を講じる。ただ、IEの脆弱性ではないかとされる問題が、無責任な方法で公開され、その結果コンピュータユーザーが危険にさらされていることを遺憾に思う」(Microsoft関係者)

 今週に入り、IEとMSN Messengerの画像処理に関する別のセキュリティ脆弱性も明らかになった。この脆弱性は、IEやMSN MessengerにおけるICCプロファイルの処理方法に起因するものだったが、Microsoftはすでに、この問題を修正するパッチを公開している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

  5. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]