IE 11のバグによりログイン認証情報が盗まれる、セキュリティアップデートが進行中
IE 11のバグによりログイン認証情報が盗まれる、セキュリティアップデートが進行中
フランク・カタラーノ著
Internet Explorer 11で新たに発見された脆弱性により、セキュリティパッチをすべて適用した最新のブラウザであっても、ログイン認証情報の盗難につながる可能性があります。朗報としては、Microsoftは「この脆弱性が積極的に悪用されているという認識はない」と述べており、修正に取り組んでいるとのことです。
Ars Technicaによると、原因はユニバーサルクロスサイトスクリプティング(XSS)のバグで、訪問者が悪意のあるウェブサイトを閲覧すると、他のウェブサイトがその訪問者のコンピュータに保存したCookieやその他のHTMLベースの情報を取得できるとのことです。これには、ログインが必要なウェブサイトの領域に誘導する認証Cookieが含まれる可能性があり、「クレジットカード情報、閲覧履歴、その他の機密データ」が保存されています。この脆弱性は、Windows 8.1およびWindows 7で動作するInternet Explorer 11の概念実証エクスプロイトで実証されています。
マイクロソフトの声明では、「これを悪用するには、攻撃者はまずユーザーを悪意のあるウェブサイトに誘導する必要がある。多くの場合、フィッシング攻撃が用いられる」と指摘している。また、セキュリティアップデートの開発中は、「信頼できないソースからのリンクを開いたり、信頼できないサイトにアクセスしたりしない」という常識的なアドバイスに従うよう呼びかけている。
