IE 5とIE 6にCSRFの脆弱性

[ITmedia]

　SANS Internet Storm Centerは3月11日、MicrosoftのInternet Explorer 5／6に関する2件の脆弱性情報がセキュリティメーリングリストで公開されたと伝えた。

　それによると、IE 5とIE 6に関して、細工を施したURLを使ってファイルの削除といったコマンドを実行することができてしまう脆弱性と、キャッシュされたログイン情報を使って再ログインが可能になるURLを作成できてしまう脆弱性が指摘されている。

　これはクロスサイトリクエストフォージェリ（CSRF）の脆弱性のようだとSANSは解説。例えばフォーラムにiFrameを挿入するといった形でユーザーが知らないうちに悪質なURLを参照させ、攻撃を仕掛けることが可能になる。

　今回の問題ではHTTPリクエストだけでなく、FTPリクエストを通じて攻撃が仕掛けられる可能性もあるという。

　なお、IE 7はこの問題の影響を受けないとされる。