IEにダウンロード警告を回避できる脆弱性
タレコミ by mew
mew 曰く、
ITmedia エンタープライズが、IE6のダウンロード警告を回避できてしまう脆弱性が新たに発見されたことを報じている。
当該記事によれば、この脆弱性を利用すれば、悪意のあるサイトが不正なコンテンツを警告を表示させることなしに閲覧者にダウンロードさせてしまうようしむけることができるという。ただし記事で説明されている脆弱性の原因と発動要件を読む限りでは、この脆弱性だけで任意のコンテンツを強制的にダウンロードさせることができるというわけではなく、少なくとも1回の閲覧者側の操作――「クリック」操作が必要になるらしい、というのが救い。
影響を受けるバージョンとして明示されているのは、「IE6.0.0」、および「WindowsXP SP2とともにリリースされたIE」。回避方法は、信頼できないサイトではやたらと「クリック」しないこと。根本的には、お馴染みの「アクティブスクリプト/JavaSciptを無効とすること」で回避可能と思われる。パッチは存在しない。他のバージョンのIEにも影響があるかどうかについては言及がない。