米Microsoftは3日(米国時間)、Internet Explorer(IE)に関する新たなセキュリティアドバイザリー(980088)を公開した。
これは2月2日~3日(同)に米バージニア州アーリントンで開催された「Blackhat DC 2010」でセキュリティコンサルタントのJorge Luis Alvarez Medina氏が、「Internet Explorerがパーソナルコンピュータを公開ファイルサーバに変える」と題して報告したIEの脆弱性に対処するための勧告だ。Windows XPでIEが動作するPC、または「保護モード (Protected Mode)」が無効状態でIEが動作するPCにおいて、ローカルストレージ内のコンテンツがHTMLドキュメントとしてレンダリングされ、リモートからPC内のファイルにアクセスされる可能性がある。
Medina氏はBlackhatでProof of Concept(PoC)コードのデモを披露したが、攻撃者はターゲットのファイルの場所と名前を正確に把握しておく必要があるため、実際に悪用される可能性は低い。Microsoftもこの脆弱性への攻撃を確認していないという。しかしながら、条件がそろえば管理者と同じような権限でリモートからPCにアクセスされるため注意が必要だ。Microsoftは月例または臨時のセキュリティアップデートを通じて、この脆弱性を修正する計画を明らかにしている。また当面の対策として、"Fix it for me"(KB 980088)を用意している。