IEにクロスサイトスクリプティングを許す脆弱性、SP2でも防げず

Secuniaは、Internet Explorer 6にクロスサイトスクリプティング攻撃を許す脆弱性が存在するとし、アドバイザリを発行した。

» 2004年12月17日 06時57分 公開
[ITmedia]

 Secuniaは12月16日、Internet Explorerにクロスサイトスクリプティング攻撃を許す脆弱性が存在するとし、アドバイザリを発行した。

 この脆弱性は、IEのDHTML Edit ActiveXコントロールのexecScript()ファンクションの処理に存在する。細工を施したHTMLコードを通じてこの問題を悪用すれば、任意のWebサイトとのセッションの間に、攻撃者が指定した任意のスクリプトコードを実行することが可能になるという。

 情報によれば、脆弱性が存在するのはWindows版のIE 6。Windows XP Service Pack 1/2でパッチをすべて適用した状態でも、問題が再現されたという。

 Secuniaでは、脆弱性を実証するためのWebサイトも公開した。このデモは、細工を施したリンクをクリックさせて新しいウィンドウを開くと、アドレスバーが偽装されるという内容だ。Cookie情報やセッションIDの取得、あるいは悪意あるプログラムのばら撒きやフィッシング詐欺などに用いられる偽装Webサイトといった用途に悪用される可能性がある。

 この問題を修正するパッチは、マイクロソフトからは提供されていない。Secuniaでは当面の自衛策として、IEのセキュリティ設定を変更し、インターネットゾーンのセキュリティレベルを「高」にするよう推奨している。つまり、ActiveXコントロールを無効にすべき、ということだ。他に、不審なリンクをクリックしないよう心がけるほか、不便ではあるが、信頼できるサイト以外ではJavaScriptをはじめとするスクリプト機能を無効にするといった手立ても考えられるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ