IEに新たな脆弱性

 おいおい、またかと言いたくなる、IEに新たな脆弱性が見つかったという知らせである。つい先日はWindows DLL読み込みに脆弱性が見つかったばかりである。それだけWindowsIEはターゲットになりやすいからなのだろうが、いい加減にしてくれという気分である。

IEに新たな脆弱性か、情報流出の恐れ(ITmedia)

 同じ脆弱性でも、一般ユーザにとってはほとんど直接関わりがない部分の脆弱性(サーバーアプリとかプロトコルとか)ならまだしも、DLLにしろIEにしろ、日常的にユーザがネットに接続しながら操作するようなケースに関わるから頭が痛い。最悪、個人的被害だけならともかく、影響が組織とか他所に及びそうなものなので、あまり知らんぷりもきかないもののようである。


 これも先日にはWidows XP/SP2のサポートは打ち切り、IE6も非推奨か打ち切り扱いになっていたはずである。Windows XP/SP3以上、IE7,8への移行が求められていた。ところがその環境でのIE7,8に脆弱性が見つかってしまった。あるサイトのCSSを読み込んでいるときに、信用できないサイトを読み込むとそこに仕掛けられたCSSを読み込んでしまって、情報流出する可能性があるという。いわばCSSによるクロスサイトスクリプティング(XSS)といえるのだろうか。複雑なサイトほど、多数のCSSを読み込むようになっているから危険は増すかもしれない。もっともサーバー側は直接には何も影響が出ないので、気が付きにくいかもしれない。


 そういえば有名サイトでも、しばしばFirefoxで表示しようとするとCSSの読み込みに失敗するケースがある。IEに特化して作られたページなのかと訝りながら、キャッシュをクリアして読み込み直すと正常に表示されたりするのだが、なんとなく気持ちが悪い。あまり関係がないかもしれないが、だいだいタブを多く開いているときに起こりやすい。このIE脆弱性も、複数のページを同時に開こうとするとき、CSSの解析が混乱して起こる可能性があるのかもしれない。


 当面の対策は、どこかのWebサイトにログインしている最中は、他のサイトを開かないこと、つまりIEの複数のタブやウィンドウを開かないことのようだが、なんとなく間の抜けた話ではある。少なくともログインが必要なページを開くときにはIEは利用しない方がよさそうである。