IEにローカルファイルやクッキー情報を盗用されるセキュリティホールGreyMagic Softwareは、Internet Explorer 5.5および6.0、6.0SP1にクロスフレームスクリプティング脆弱性があり、Cookie情報やローカルファイルの読み出しやローカルプログラムの起動などが可能であると警告した
GreyMagic Softwareは、Internet Explorer 5.5および6.0、6.0SP1にクロスフレームスクリプティング脆弱性があり、Cookie情報やローカルファイルの読み出しやローカルプログラムの起動などが可能であると警告した。
FRAMEおよびIFRAMEで表示したHTMLページに対して、攻撃者が設定したスクリプトがオリジナルのURLおよびゾーン設定のまま実行されてしまうというもので、任意のサイトのCookie情報が盗めるほか、IE 6.0ではローカルファイルの読み出しや実行すら可能になる。
IE 6.0には、マイコンピュータゾーンのIFRAMEを持つリソース(res://shdoclc.dll/privacypolicy.dlg)が標準で組み込まれているため、攻撃者は誰でも固定のリソース名でマイコンピュータゾーンの権限を取得できることになる。マイコンピュータゾーンでは、ファイルへのアクセスや実行が可能となるため非常に危険である(privacypolicy.dlgはIE 5.5にはないが、マイコンピュータゾーンのIFRAMEを持つファイルがあればIE 5.5でも同じことが可能なため、5.5なら安全というわけではない)。
この脆弱性は、Windows UpdateでIEを最新の状態にしてあっても攻撃可能なため、同社ではアクティブスクリプト機能をオフにするよう勧めている。 GreyMagic Software [記事提供:RBBTODAY ] モバイルショップ
最新スペック搭載ゲームパソコン
最新CPU搭載パソコンはドスパラで!!
FEED BACK |