セキュリティ組織の米US-CERTや、デンマークのセキュリティ企業であるセキュニアなどは2008年6月26日、WebブラウザーのInternet Explorer 6(IE6)に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたWebページにアクセスすると、攻撃者にCookie(クッキー)情報などを盗まれる恐れがある。実際、悪用が可能であることを示すプログラム(実証コード)が公開されている。修正パッチ(セキュリティ更新プログラム)は未公開。

 今回報告された脆弱性は「クロスドメインの脆弱性」と呼ばれるもの。Webブラウザーで複数のウインドウ(タブ)を開き、それぞれで同じWebサイト(ドメイン)にアクセスしている場合には、ウインドウ同士は互いに“対話”が可能で、それぞれが表示している情報にアクセスできる。

 一方、異なるWebサイトにアクセスしている場合には、それぞれの情報にはアクセスできない。これにより、信頼できるWebサイトと怪しいWebサイトの両方にユーザーがアクセスしている場合に、怪しいサイトが信頼できるサイトのふりをして情報を送り込んだり、信頼できるサイトが送る情報を盗んだりできないようにしている。

 このようなセキュリティモデルを「クロスドメインのセキュリティモデル」などと呼び、そのモデルが破れてしまう欠陥を「クロスドメインの脆弱性」などという。IEには、クロスドメインの脆弱性がたびたび見つかっていて、そのたびにマイクロソフトは修正パッチを公開して対応してきた。そして今回、またもやクロスドメインの脆弱性が見つかった。

 この脆弱性を悪用されると、信頼できるサイトと行っている通信を乗っ取られたり、信頼できるサイトのふりをしてスクリプト(プログラム)を送り込まれたりする恐れがある。信頼できるサイトとやり取りしているCookieを盗まれる危険性などもある。

 今回の脆弱性について、US-CERTでは「クロスサイトスクリプティングの脆弱性を悪用された場合と同等のインパクトがある」としている。セキュニアでは、今回の脆弱性の危険度を、5段階評価で上から3番目の「Moderately critical(中)」に設定している。

 現時点(2008年6月27日18時)では、マイクロソフトからは脆弱性に関する情報や、修正パッチは公開されていない。回避策としてUS-CERTでは、今回の脆弱性の影響を受けないIE7にアップデートすることを勧めている。IE6を使い続けるユーザーに対しては、IEのセキュリティ設定で「アクティブスクリプト」を無効にすることを推奨。無効にしておけば、脆弱性の影響を軽減できるとしている。