Internet Explorer にユニバーサルクロスサイトスクリプティング(UXSS)の脆弱性(CVE-2015-0072)が存在することが確認されました。攻撃者は、このゼロデイ脆弱性を悪用すると、同一生成元ポリシー(SOP)を回避して、他の Web サイトから情報を盗んだり情報を Web サイトにインジェクトしたりできる可能性があります。脆弱性の影響を受けるのは、Windows 7 または Windows 8.1 上で実行されている Internet Explorer 11 です。
同一生成元ポリシーは、ある Web サイトのスクリプトが別の Web サイトのデータを読み込んだり変更したりすることを防ぐよう設計されています。しかし、攻撃者が今回の脆弱性を悪用すると、悪質な Web サイトに誘導するリンクを仕込んだ電子メールを作成することが可能です。受信者がリンクをクリックすると、悪質な Web サイトで SOP が回避され、攻撃者に重要な情報を盗まられてしまう恐れがあります。
Microsoft 社は、この脆弱性に対するパッチやセキュリティアドバイザリをまだ公開していません。また、現時点では脆弱性が実際に悪用されている兆候はありません。パッチが公開されるまでは、Mozilla Firefox や Google Chrome など、その他のブラウザを使用することをお勧めします。
この脆弱性については現在調査中です。詳しいことがわかり次第お知らせいたします。
シマンテックおよびノートンによる保護対策
侵入防止システム
2015 年 2 月 6 日更新:
シマンテックは、次の保護対策を追加しました。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。