Microsoft Internet Explorer(IE)の画像レンダリング機能に脆弱性が見つかったと、セキュリティ専門家が警告を発している。この専門家によれば、攻撃者はこの脆弱性を利用してリモートから悪質なコードを実行することが可能であるという。
セキュリティコンサルタントで著作家のMichal Zalewskiは、IEのJPEG画像の処理方法に、脆弱性と思われる箇所が複数あることを発見したという。これらの脆弱性のなかには、攻撃者がリモートから任意のコードを実行することを可能にするものもあるという。セキュリティベンダー各社は、このようなタイプの脆弱性の脅威度を通常、「重大」と評価する。
Zalewskiはウェブサイトで、これらの脆弱性の存在を実証する4枚の画像を公開した。これらはどれも、IE 6に影響すると同氏は述べる。SecurityFocusが公開した情報によると、以前のバージョンのIEもこれらの脆弱性の影響を受ける可能性があるという。これらの画像が示す脆弱性のうち2件は、メモリやCPUの問題も引き起こす。
Zalewskiは、これらの脆弱性について、Microsftに事前に知らせなかったという。同氏は、その理由を、Microsoftのバグレポートプロセスに問題があると考えているためとしている。
ZalewskiはセキュリティサイトNeophasisで、「Microsoftにセキュリティ上の問題を報告し、意見交換するのは、いたずらに時間がかかるばかりで、研究者側の負担や苦労が余りにも大きい。悪用されてもシステムがクラッシュする程度の問題なら、なおさらだ。だから、わたしはMicrosoftに事前に報告するようなことはしなかった」と述べている。
「Microsoftでは、IEに存在するとされる脆弱性について、新たに発表されたレポートを調査中だ。これらの脆弱性を悪用した攻撃については、まだ報告を受けていない。調査が完了した時点で、顧客を保護するための適切な対策を講じる。ただ、IEの脆弱性ではないかとされる問題が、無責任な方法で公開され、その結果コンピュータユーザーが危険にさらされていることを遺憾に思う」(Microsoft関係者)
今週に入り、IEとMSN Messengerの画像処理に関する別のセキュリティ脆弱性も明らかになった。この脆弱性は、IEやMSN MessengerにおけるICCプロファイルの処理方法に起因するものだったが、Microsoftはすでに、この問題を修正するパッチを公開している。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ