Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

研究者が最新版IEの脆弱性を指摘 - 修正予定なく、実証コードが公開へ

「Internet Explorer」に、端末内の情報収集に悪用されるおそれがある脆弱性が指摘されている。修正の予定はなく、実証(PoC)コードが公開されている。

セキュリティ研究者のJohn Page氏が、「Internet Explorer」におけるXML外部実体参照処理(XXE)の脆弱性を指摘したもの。

同氏によれば、問題の脆弱性は拡張子が「MHT」で、ウェブページを保存する際に利用する「MHTMLファイル」の処理に存在。細工された「MHTMLファイル」を開くと、「XXE攻撃」により端末内のファイルに関する情報を窃取されるおそれがある。

通常、ファイル内に埋め込まれた「ActiveXオブジェクト」を実行する際は、ブロックされて有効化を尋ねるアラートが表示されるが、「MHTMLファイル」では警告なしに実行されてしまい、外部との通信などが行われるという。

(Security NEXT - 2019/04/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Cisco ISE」の脆弱性、順次パッチ提供 - リリース後は悪用コードが利用可能に
狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起
「スシロー」のAndroidアプリにパスワード漏洩のおそれ - アップデートを
「VMware vROps」にCSRFの脆弱性 - アップデートが公開
脅威情報共有プラットフォーム「MISP」に脆弱性 - パッチで修正
脆弱性スキャナ「Nessus」にセキュリティアップデート
「VMware vRealize Log Insight」の深刻な脆弱性、PoCが公開
コンテナ管理プラットフォーム「Rancher」に深刻な脆弱性
macOS向けアップデート - 複数脆弱性を修正
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性