セキュリティカンファレンスでIE 8のXSSフィルターの脆弱性を突いた新たな攻撃方法が報告された。
米Microsoftは、6月の更新プログラムでInternet Explorer(IE) 8のクロスサイトスクリプティング(XSS)フィルターに存在する脆弱性に対処すると発表した。
IE 8のXSSフィルターは、Web上の悪質コードを検出してユーザーを保護する。同社セキュリティ対策センターのブログによると、欧州で開かれたセキュリティカンファレンスのBlackhatで、このフィルターの脆弱性を突いた新たな攻撃方法が報告されたという。
XSSフィルターの脆弱性情報は1月に公開され、Microsoftが同月のIEの更新プログラム(MS10-002)と3月の更新プログラム(MS10-018)で対処していた。しかし、今回のBlackhatで新たに「SCRIPTタグ攻撃」のシナリオが公表されたため、6月に追加の更新プログラムをリリースすることにしたという。
この攻撃方法は、XSSフィルター技術を利用する全ブラウザに当てはまる。Microsoftは、XSSフィルターによって大規模攻撃からユーザーを保護するメリットが脆弱性による潜在的なリスクを上回ると解説し、XSSフィルターを使うべきとの立場を崩していない。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.