IEにスプーフィング誘発の脆弱性

[ITmedia]

　MicrosoftのInternet Explorer（IE）に関してまた新たな脆弱性が報告された。この問題を突かれると、スプーフィングなどの攻撃が可能になるという。

　今回の脆弱性はセキュリティ研究者のアミット・クライン氏が発見し、ネットで論文を公開した。それによると、JavaScriptオブジェクトの「XmlHttpRequest」に関してIEでの実装に問題があり、ユーザーが提供する一部の重要なフィールドがIEで認証されないという。

　これが原因で、リファラー詐称やHTTPリクエストスマッグリング、Webキャッシュポイズニングなどの攻撃を誘発したり、コンテンツにアクセスされる恐れがあるとしている。

　セキュリティ企業のSecuniaによれば、完全にパッチが当てられたIE 6.0とWindows XP SP2でこの問題が確認された。深刻度は「中程度」と評価。回避策としてセキュリティレベルを「高」に設定するよう推奨している。