現行版の「Microsoft Edge」「Internet Explorer」にゼロデイ脆弱性

トレンドマイクロのブログ

　現行バージョンの「Microsoft Edge」および「Internet Explorer」にゼロデイ脆弱性が存在することが3月30日、セキュリティ研究者のJames Lee氏によって報告された。トレンドマイクロが4月3日付けのブログ記事でその内容を解説している。

　今回問題となっている脆弱性は、“同一生成元ポリシー違反”（CWE-346）と呼ばれるもの。Webブラウザーは通常“生成元（およそドメインに相当する）”ごとにコンテンツを管理し、他のドメインのセッション情報にアクセスできない仕組みになっている（同一生成元ポリシー）。たとえばログインの必要なページに“Facebook”の共有ボタンスクリプトが埋め込んであっても、そのページのセッション情報が“Facebook”に送信されてしまうことはない。

　しかし、同一生成元ポリシーが破られてしまうと、不正なWebサイトに訪問しただけで、それとは関係のないWebサイトのセッション情報が攻撃者に転送されてしまう可能性がある。機密情報が漏洩してしまう恐れがあり、大変危険だ。

　Lee氏はこの脆弱性が「Microsoft Edge」および「Internet Explorer」で機能することを証明する概念実証（Proof of Concept、PoC）サイトを公開しているが、Webページに埋め込まれた“Bing”の検索文字列（クエリ）が盗み取られ、JavaScriptでアラート表示できてしまうことがわかる。

James Lee氏が公開したPoCサイト

　セッション情報が不正なサーバーに露出してしまうこの脆弱性は影響の非常に大きなものだが、現時点ではMicrosoftによる修正プログラムの公開予定などは示されていない。同社は回避策として、この不具合が修正されるまで「Microsoft Edge」と「Internet Explorer」の利用を控えることなどを挙げている。