Award-winning news, opinion, advice and research from SOPHOS

Sophosは2月4日(米国時間)、「Internet Explorer has a Cross Site Scripting zero-day bug|Naked Security」において、IEにゼロデイの脆弱性が存在すると伝えた。これはクロスサイトスクリプティングと呼ばれる種類の脆弱性に分類されるもので、記事掲載の時点でMicrosoftから同脆弱性に関する発表は行われていない。

この脆弱性は「CVE-2015-0072」として分類されている。Sophosの説明によれば、Internet Explorer、少なくともIE11にはこの脆弱性が存在しており、クロスサイトスクリプティングを防ぐべき仕組みが機能しておらず、最終的にクロスサイトスクリプティングが実施され、情報漏洩などが発生する危険性があると指摘されている。

記事では、クロスサイトスクリプティングは遠隔からコードが実行されるような脆弱性と比べれば深刻度は低いと言えるが、セッションを盗まれるなどしてサイトにログインされる危険性などがあり注意が必要と説明。Microsoftからの情報に注意するとともに、この脆弱性を修正するパッチの提供が開始された場合は迅速に適用することを推奨している。