« 2004/12のWindowsUpdate | Main | AR RAM Disk 手軽にRAMDISKを作成 »

›12 17, 2004

IE 6にクロスサイトスクリプティングの脆弱性

[ PCニュース ]

 毎週どころか毎日なにかの脆弱性が見つけ出される毎日。最早追い切れないです。

 デンマークのSecuniaは16日、Internet Explorer(IE)にクロスサイトスクリプティングの脆弱性があると報告した。パッチをフル適用したWindows XP SP1/SP2のIE 6で発生することが確認されたとしている。Secuniaでは危険度を5段階中3番目の“Moderately Critical”と評価している。
 
 この脆弱性は、ユーザーが任意のサイトを閲覧しているセッションにおいて、攻撃者によって任意のスクリプトを実行できるというもの。ある条件下において、ActiveXコントロールのDHTML Editが「execScript()」ファンクションを取り扱う際に発生するエラーが原因だという。
 
 この脆弱性を悪用することで、例えばアドレスバーには信頼できるWebサイトのURLが表示された状態で、ページ内に別のサイトを表示できる。このサイト上でユーザーに対してクレジットカード情報の入力を促すなどフィッシングに悪用することが可能になるほか、Cookieを簡単に盗み取ることもできるという。
 
 Secuniaではこの脆弱性のデモンストレーションページを用意しており、ユーザーが使用しているWebブラウザが実際に影響を受けるかどうかテストできるようになっている。なお、Secuniaでは対処方法として、Webブラウザの設定でインターネットゾーンのセキュリティレベルを「高」にする(ActiveXを無効にする)ことを挙げている。

IE 6にクロスサイトスクリプティングの脆弱性〜Secuniaが公表


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?