« Yahoo! JAPANがRSS配信 | Main | NECの燃料電池搭載ノート »

›10 21, 2004

ブラウザ関連のセキュリティバグ二つ

[ PCニュース ]

タブ機能のセキュリティバグ

 IEで複数窓を開いていると、他の窓のURLをリファラーとして送信してしまう事があるとかいう話を聞いた事が有る気がしますが、その辺も一緒に直していただけると嬉しいです。

タブウィンドウで悪質なウェブサイトを開くと、そのサイトから別のタブウィンドウに入力された情報にアクセスされるおそれがある、というもの。またもう1つは、悪質なウェブサイトが、別のタブウィンドウで開かれているサイトのものと見せかけて、ダイアログボックスを表示することができてしまう、というものだ。


ドラッグ・アンド・ドロップの脆弱性の発展系

 確か最終的にはクリックしただけでダウンロードさせるコードが出たような気がしますが、恐ろしい世の中ですね。危ないサイトに近寄るのは駄目!絶対!
1つ目は、CAN-2004-0839 に関連した欠陥で、画像や動画などのファイルをインターネットゾーンからローカルにドラッグ・アンド・ドロップした際に、悪意のあるサイトが任意の HTML を保存できるというもの。
 
2つ目は、IE に組み込まれている HTML Help コントロールにセキュリティの欠陥があり、たとえばリモートの索引ファイル(index.hhk 等)を用いてローカルの HTML ファイルを実行できというもの。1つ目の欠陥と組み合わせれば、HTML に埋め込んだ任意のスクリプトを実行させられてしまいます。


主要ブラウザのタブ機能に、共通のセキュリティバグ - CNET Japan
IE に任意の HTML をダウンロードさせ実行させられる二つの欠陥


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?