ニュース 2002年9月11日 08:22 PM 更新

IEにローカルファイルやクッキー情報を盗用されるセキュリティホール

GreyMagic Softwareは、Internet Explorer 5.5および6.0、6.0SP1にクロスフレームスクリプティング脆弱性があり、Cookie情報やローカルファイルの読み出しやローカルプログラムの起動などが可能であると警告した

 GreyMagic Softwareは、Internet Explorer 5.5および6.0、6.0SP1にクロスフレームスクリプティング脆弱性があり、Cookie情報やローカルファイルの読み出しやローカルプログラムの起動などが可能であると警告した。

 FRAMEおよびIFRAMEで表示したHTMLページに対して、攻撃者が設定したスクリプトがオリジナルのURLおよびゾーン設定のまま実行されてしまうというもので、任意のサイトのCookie情報が盗めるほか、IE 6.0ではローカルファイルの読み出しや実行すら可能になる。

 IE 6.0には、マイコンピュータゾーンのIFRAMEを持つリソース(res://shdoclc.dll/privacypolicy.dlg)が標準で組み込まれているため、攻撃者は誰でも固定のリソース名でマイコンピュータゾーンの権限を取得できることになる。マイコンピュータゾーンでは、ファイルへのアクセスや実行が可能となるため非常に危険である(privacypolicy.dlgはIE 5.5にはないが、マイコンピュータゾーンのIFRAMEを持つファイルがあればIE 5.5でも同じことが可能なため、5.5なら安全というわけではない)。

 この脆弱性は、Windows UpdateでIEを最新の状態にしてあっても攻撃可能なため、同社ではアクティブスクリプト機能をオフにするよう勧めている。

関連リンク
▼ GreyMagic Software

[記事提供:RBBTODAY ]



モバイルショップ

最新スペック搭載ゲームパソコン
高性能でゲームが快適なのは
ドスパラゲームパソコンガレリア!

最新CPU搭載パソコンはドスパラで!!
第3世代インテルCoreプロセッサー搭載PC ドスパラはスピード出荷でお届けします!!