複数のWebブラウザに文字コード処理の脆弱性、IE 7とOperaに影響

[ITmedia]

　Internet Explorer（IE 7）7とOperaブラウザに、文字コード処理に関連したクロスサイトスクリプティングの脆弱性が報告された。

　セキュリティ各社のアドバイザリーによると、この問題は、文字コードを指定していないWebページをframeなどで表示すると、親ページの文字コードセットを受け継いでしまうことが原因で発生する。

　例えばiframeなどを使い、UTF-7の文字コードを使った悪意あるページに特定のサイトを組み込む形で悪用される恐れがあり、ユーザーのブラウザで任意のHTMLやスクリプトコードを実行して、クロスサイトスクリプティング攻撃を仕掛けることが可能になる。

　Secuniaでは完全にパッチを当てたWindows XPで動作するIE 7と、Opera 9.10でこの問題を確認しており、ほかのバージョンも影響を受ける可能性があると指摘。攻撃を成功させるためにはユーザーが悪意あるサイトを閲覧する必要があるため、信頼できないサイトは閲覧しないよう勧告している。

　Secuniaの危険度評価はIE 7、Operaとも5段階で下から2番目の「Less critical」となっている。

　なお、MozillaはFirefox 2.0.0.2でこの問題を修正済みとされる。