アメリカ・ジョージア州アトランタを拠点とするセキュリティベンダー会社Internet Security Systemsは14日（現地時間）、Windows XP SP2上のIEに、警告ダイアログを表示せずにファイルをダウンロードしてしまう脆弱性が存在することを公表した。

　脆弱性の具体的内容は、スクリプト関数“onclick”で細工を施したWebページをIEで表示し、そのWebページ上のリンク以外の部分をクリックしただけで、攻撃者が指定したファイルをダウンロードしてしまうというもの。このとき、警告ダイアログが一切表示されないため、ユーザーはファイルをダウンロードしたことに気付かないという。

　現在、Windows XP SP2に標準搭載されているIEのバージョンは、v6.0 SP2となっている。v6.0 SP2は旧バージョンと異なり、ファイルの自動ダウンロードを抑止する機能を搭載しているが、本脆弱性を悪用することでその機能さえも回避できるとのこと。

　なお、本脆弱性を修正するパッチなどは公開されていないが、IEの“アクティブ スクリプト”機能をオフにすることで回避できる。

□ISS X-Force Database:ie-file-warning-bypass(18897): Microsoft Internet Explorer bypass file download warning
http://xforce.iss.net/xforce/xfdb/18897

（中井 浩晶）