最近、JVN#63901692の公開後、IEおわたとか使うなという反応されている方が結構います。 これは、MSの対応がInternet Explorer 10のみになってしまったのもあるかとおもいますが、そもそも十分な理解がされていないためだとおもわれます。 実際のところ、いまつかっている、IEを即刻利用停止しなければならないほど危険な脆弱性ではありません。 JVNではインターネットからの攻撃が高となってますが、実際は説明にあるとおり、あくまでもローカル上のXMLファイルをクリックした場合のみの問題となります。 このため実際の危険度はもっと低くなります。 IEは、通常JavaScriptやAxtive Xや含んだローカルのHTMLを開いた場合、「このWebページはスクリプトやAxtiveXスクリプトやActiveXコントロールを実行しないようにブロックされています」と表示されます。 XMLを使うことでJavaScriptもAxtive Xも使わずにファイルを取得する方法が存在し、その場合だと、ブロックがされなかったことから報告にいたったものです。 (XMLにある程度知識があるかたなら攻撃方法が予想つくとおもいます)

Internet Explorer（IE）に存在することが先週末に公表されて話題になった“修正予定がない脆弱性”について、日本マイクロソフト株式会社が12日、報道関係者向けに毎月開催している月例セキュリティ修正パッチの説明会の席上で言及した。同社としては緊急性は低いとの判断だったことを説明する一方で、そうした脆弱性が注目されたことに対して「あまり問題になるとは思わなかった」（チーフセキュリティアドバイザの高橋正和氏）とコメント。脆弱性情報の公開にあたってのベンダーとしての対処という観点では不十分な面もあったと反省した。 　この“脆弱性”は、独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が運営する脆弱性情報サイト「JVN（Japan Vulnerability Notes）」において、6月7日付で公表されたもの。IEにXMLファイルの取り扱いに関する脆弱性があり、細工を施されたXMLファイルをローカルファイルとして開くことで、別のローカルファイルの内容が漏えいする可能性があるとしている。2009年7月、IPAの脆弱性届け出窓口に発見者から情報が寄せられ、その後、JPCERT/CCがIEの開発者であるマイクロソフトと調整。ここに来て公表するに至った。

IEの“修正予定がない脆弱性”、これほど問題になるとは……MSが事情説明 -INTERNET Watch Watch