デンマークのセキュリティベンダー会社Secuniaは17日（現地時間）、Windows XP SP2上のIEにファイルをダウンロードする際に発生する2件の脆弱性があることを公表した。

　1つ目の脆弱性は、HTTPヘッダー“Content-Location”内に特別な細工が施されたファイルをダウンロードする際に、警告ダイアログが表示されることなくそのファイルを開いてしまうというもの。また2つの目の脆弱性は、Javaスクリプトの“execCommand”関数を悪用し、攻撃者が拡張子を偽装した状態でユーザーに悪意のあるファイルを保存させることができるというもの。

　1つ目の脆弱性に関しては回避方法が示されていないが、2つ目の脆弱性は、IEの“アクティブ スクリプト”機能を無効にするとともに、エクスプローラのフォルダ オプション画面で全ての拡張子を表示するように設定すれば回避可能。

　なお、上記2件の脆弱性を組み合わせることで、警告ダイアログを表示することなく、HTMLファイルに偽装した実行ファイルをユーザーのパソコン上で実行できるとのこと。

□Secunia - Advisories - Microsoft Internet Explorer Two Vulnerabilities
http://secunia.com/advisories/13203/

（中井 浩晶）