« エプソン、Pentium Dが搭載可能なスリムデスクトップ | Main | Office 2003 SP2のダウンロード提供開始 »

›9 28, 2005

IE6にパッチ未提供の脆弱性、HTTP Request偽装の恐れ

[ PCニュース ]

 発動条件が結構厳しそうですが、よくわからないです。

 

 この脆弱性は、IE 6のActiveXコントロールである「Microsoft.XMLHTTP」における関数「Open()」への入力が、HTTP Requestに利用される前に正しく処理されないことが原因。タブ文字や改行文字を含んだ特別な入力が行なわれると、任意のHTTP Requestが挿入されてしまう恐れがあり、具体的には、データの改竄やHTTP Requestの偽装などの危険性があるという。
 
 ただし、脆弱性を悪用するには、HTTP Requestに含まれる空白スペースの代わりにタブ文字や改行文字を使用することを許可するサーバーもしくはプロキシを経由して送信されるHTTP Requestである必要がある。

IE6にパッチ未提供の脆弱性、HTTP Request偽装の恐れ


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?