ご確認を!
窓の杜の記事に、 現行版の「Microsoft Edge」「Internet Explorer」にゼロデイ脆弱性 てのがありました。
現行バージョンの「Microsoft Edge」および「Internet Explorer」にゼロデイ脆弱性が存在することが3月30日、セキュリティ研究者のJames Lee氏によって報告されたそうです。記事によると・・・
しかし、同一生成元ポリシーが破られてしまうと、不正なWebサイトに訪問しただけで、それとは関係のないWebサイトのセッション情報が攻撃者に転送されてしまう可能性がある。機密情報が漏洩してしまう恐れがあり、大変危険だ。Lee氏はこの脆弱性が「Microsoft Edge」および「Internet Explorer」で機能することを証明する概念実証(Proof of Concept、PoC)サイトを公開しているが、Webページに埋め込まれた“Bing”の検索文字列(クエリ)が盗み取られ、JavaScriptでアラート表示できてしまうことがわかる。
だそうです。中の人もトレンドマイクロの元記事を見ましたが、より具体的に分かりやすく書いてある部分がありましたので引用します。
攻撃者が、同一生成元ポリシーを回避し、ユーザが銀行のWebサイトとの間でやり取りした認証情報などの機密情報にアクセスすることができた場合、攻撃者はユーザの銀行アカウントを侵害することが可能になります。攻撃者はユーザになりすましてサイトにログインし、すべての個人情報にアクセスしたり、決済処理を認証したりすることも可能になるでしょう。
とのことです。これはコワイですね。ユーザーを不正なサイトにアクセスさせて、Webサイトに埋め込まれたJavaScriptが、ユーザが訪問した別のWebサイトに関連した情報を収集することが可能になってしまいます。
現時点では、まだこの脆弱性に対するMicrosoftによる修正プログラムの公開予定などは示されていないようですので、回避策としては「Microsoft Edge」と「Internet Explorer」の利用を控えることくらいしかありません。
「Microsoft Edge」と「Internet Explorer」を日常的にご利用の方は、修正プログラム配布までは、Google ChromeやFirefoxなどの他のブラウザをご利用になることをお薦めします。