セキュリティ企業のSecuniaは8月19日、Internet Explorer（IE）のドラッグ＆ドロップ処理に脆弱性があるとアドバイザリを出した。危険度は、5段階評価で2番目に高い「Highly critical」。

問題の原因は、IEでインターネットゾーンのファイルをローカルリソースにドラック＆ドロップする際に、ファイルに対する十分な検証が行われないことによる。この脆弱性を悪用するWebサイトからファイルをドラッグ＆ドロップしてくると、ユーザーのスタートアップフォルダに任意の実行ファイルが作成されてしまい、次回Windowsを起動した際に自動的に実行されてしまう。

IE5.01/5.5/6 に最新パッチを当てようが、Windows XP SP2 にしようが影響を受けるとのこと。回避するには、アクティブスクリプト機能を無効にするか、別のブラウザを使用するしかないんだそうで。

さらにセキュリティホール memo によると、スクロールバーを操作するだけで攻撃ファイルがスタートアップフォルダに登録されてしまうようなコードも作れるそうです。その上、この欠陥を利用した攻撃が既に行われているとのこと。

うわぁ、危険だなぁ……。
きっと、さっさと別のブラウザに乗り換えるのが幸せですね。