危険なIEの脆弱性がマウスの動きを追跡 [更新済み]

2012年10月1日、Internet Explorer（バージョン6から10）の脆弱性がspider.ioによって報告され、画面上のポインタの動きを追跡するために使用できるエクスプロイトが示されました。このエクスプロイトは、ターゲットが仮想キーボードのみを使用している場合でも、重要な情報を得ようとする人々によって使用される可能性があります。

この問題はMicrosoft Security Research Centerに報告されましたが、彼らは問題を修正することに関心がないようで、未解決のままです。この脆弱性は、クレジットカードの詳細や電話番号を入力するために仮想キーボードを使用している人々にとって特に危険です。

この問題はIEのユーザーにどのように影響するのでしょうか？

キー入力ロガーを回避するために仮想キーボードを使用している人々でさえ安全ではありません。これは、エクスプロイトがInternet Explorerが最小化されているときでも、マウスの動きやクリックを追跡するためです。spider.ioの研究者たちは、エクスプロイトがどのように機能するかを示すデモページを作成しており、ダイヤルパッドで誰かが何をクリックしているかを学ぶのがどれほど簡単かを示す動画もあります。

エクスプロイトの提出者は、Microsoftにこの問題を通知したと述べており、彼らのウェブサイトで見る限り、問題に対処するための行動は取られていないようです：

Microsoft Security Research CenterはInternet Explorerの脆弱性を認めていますが、既存のブラウザのバージョンにこの脆弱性を修正するための即時の計画はないとも述べています。

さらに、エクスプロイトがIE 6-10で実装できるため、多くの潜在的な被害者が存在し、彼らはこの問題を認識する必要があります。幸運なことに、Microsoftが行動を拒否するところで、他の人々が行動を起こしています。また、問題を説明するページでは、spider.ioは、解決策を考案しようとしている企業があることをユーザーに保証しています。

この問題に関するMicrosoftの対応は、少なくともプロフェッショナルとは言えませんが、彼らはInternet Explorerを他のブラウザをダウンロードするための最良のブラウザとして維持しようとしているだけだと思います。もしそうであれば、彼らは素晴らしい仕事をしています！spider.ioのNick Johnsonによって提出されたバグレポートは非常に詳細で、脆弱性の詳細を説明しています。また、彼はエクスプロイト自体のコードも提示しています：

この問題の重要性がより多くの人々やセキュリティ会社に認識され、IEを安全にするためのツールがすぐにリリースされることを願っています。

更新：脆弱性に関する騒動を受けて、Microsoftはついに圧力に屈し、問題を調査していることを明らかにしました。彼らは依然として、根本的な問題は消費者の安全やプライバシーよりも分析会社間の競争に関係していると主張していますが、spider.ioの報告はまったく異なる状況を描いています。