速報
2004/12/17 06:57 更新
IEにクロスサイトスクリプティングを許す脆弱性、SP2でも防げず
Secuniaは、Internet Explorer 6にクロスサイトスクリプティング攻撃を許す脆弱性が存在するとし、アドバイザリを発行した。
Secuniaは12月16日、Internet Explorerにクロスサイトスクリプティング攻撃を許す脆弱性が存在するとし、アドバイザリを発行した。
この脆弱性は、IEのDHTML Edit ActiveXコントロールのexecScript()ファンクションの処理に存在する。細工を施したHTMLコードを通じてこの問題を悪用すれば、任意のWebサイトとのセッションの間に、攻撃者が指定した任意のスクリプトコードを実行することが可能になるという。
情報によれば、脆弱性が存在するのはWindows版のIE 6。Windows XP Service Pack 1/2でパッチをすべて適用した状態でも、問題が再現されたという。
Secuniaでは、脆弱性を実証するためのWebサイトも公開した。このデモは、細工を施したリンクをクリックさせて新しいウィンドウを開くと、アドレスバーが偽装されるという内容だ。Cookie情報やセッションIDの取得、あるいは悪意あるプログラムのばら撒きやフィッシング詐欺などに用いられる偽装Webサイトといった用途に悪用される可能性がある。
この問題を修正するパッチは、マイクロソフトからは提供されていない。Secuniaでは当面の自衛策として、IEのセキュリティ設定を変更し、インターネットゾーンのセキュリティレベルを「高」にするよう推奨している。つまり、ActiveXコントロールを無効にすべき、ということだ。他に、不審なリンクをクリックしないよう心がけるほか、不便ではあるが、信頼できるサイト以外ではJavaScriptをはじめとするスクリプト機能を無効にするといった手立ても考えられるだろう。
[ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
「Windows 7搭載PC」で何が変わったのか?
「設備」「ネットワーク」「マネジメント」
「ノートPCの持ち出し禁止」だけで大丈夫?
「どこでもオフィス」で業務効率アップ!![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
@IT「Windows 7」 特設サイトオープン!
IT基盤をアウトソースした中堅中小企業たち
業務でオープンソースは不安、は過去のこと
1日の処理を1秒にも――MySQLの達人が語る
トップエンジニア村上氏と上野氏が競演!
技術者不在でも「すぐに使える」
『情報システム部門』のあるべき姿は?
MONOist執筆陣×PTC対談企画 好評の第2弾
IBM スマートなモノづくり PLMフォーラム
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター