ニュースサイトから知ったことですが、Tungstenにも少なからず影響を受けることなので、あえて記事を書きます。
JVNが発表した内容によると、 IE6~9にXMLファイルの処理に問題があり、ローカルファイルが漏れる可能性があるようです。
驚いたのは、次の一文。
なお、開発者によると、Internet Explorer 9 およびそれ以前において、本脆弱性の修正予定はないとのことです。
Windows 2000が延長サポートフェーズだった際、OSの設計の問題でTCP/IPの脆弱性を放置した実例もありますが、今回も同様なのでしょうか?
これまでIE6にも頑なにセキュリティパッチを出してきたMSらしからぬ対応で、どうしたものかと思います。
近日MSのセキュリティアドバイザリにも公開されるでしょう。
JVNの発表だけでは、「IE6~IE9はセキュリティホールを放置するので、IE10に(Windows 7以上にさっさと)乗り換えて」
と言っているようにしか聞こえず、MS基準の深刻度はわかりません。
JVNの分析結果は深刻だと言っているのですが・・・
ただ、IE10に乗り換えるにあたっていくつも問題が存在します。たとえば、
- Windows XP, VistaにはIE10がないので、このセキュリティ問題を回避するにはWindows 7以上にする必要があること
- OSのサポート期間が終わっていないのにセキュリティ問題を放置すること
- 古いIEにしか対応しないサイトが数多く存在すること
- TungstenなどのIEコンポーネントブラウザーでは、JavaScript周りに不具合があり特定のページでフリーズすること
- Windows7において、IE10の必須コンポーネントであるプラットフォームアップデートとの相性が悪いPCが存在すること
・・・などなど。様々な理由で、簡単に乗り換えられるものではないでしょう。 このセキュリティ問題が深刻なほど、根深い問題となります。
なお、この問題は、ローカルファイルにあるXMLファイルを開いたときに影響を受けるとのことで、
XMLの関連付けを図のようにIEや"XML Editor"以外に変更するとダブルクリックによる実行は回避できそうです。
# これがインターネット上にあるXMLファイルでも起こるのなら、かなり深刻なことになると思いますが、どうなんでしょう?
2013/06/13 追記
この件に関して、MSが反論しています(リンク先はInternet Watch)。
MSの見解では、攻撃者は以下の条件が揃わない限り、攻撃が成立することはないとのこと。
- 細工したXMLファイルをローカルファイルにダウンロードさせること
- ダウンロードしたローカルファイルのフルパスを知っていること
- 細工したXMLファイルをIEで開かせること
ローカルファイルに怪しいXMLファイルを保存しないことが回避策です。
※とはいえ、ダウンロードフォルダーの場所をデフォルトのままにしている人も少なくないはずで、
細工したXMLの作り方さえわかれば実は攻撃可能では・・・?
要するに、公開されている情報がJVNにしか載っておらず、情報が足りないせいでユーザーが混乱した・・・ (しかも、深刻度が高めに見えて「修正予定はない」と言ったせいで余計な誤解が生まれた) というところでしょうか。