IEにクロスサイトスクリプティングを許す脆弱性、SP2でも防げず
Secuniaは12月16日、Internet Explorerにクロスサイトスクリプティング攻撃を許す脆弱性が存在するとし、アドバイザリを発行した。
この脆弱性は、IEのDHTML Edit ActiveXコントロールのexecScript()ファンクションの処理に存在する。細工を施したHTMLコードを通じてこの問題を悪用すれば、任意のWebサイトとのセッションの間に、攻撃者が指定した任意のスクリプトコードを実行することが可能になるという。
情報によれば、脆弱性が存在するのはWindows版のIE 6。Windows XP Service Pack 1/2でパッチをすべて適用した状態でも、問題が再現されたという。
Secuniaでは、脆弱性を実証するためのWebサイトも公開した。このデモは、細工を施したリンクをクリックさせて新しいウィンドウを開くと、アドレスバーが偽装されるという内容だ。Cookie情報やセッションIDの取得、あるいは悪意あるプログラムのばら撒きやフィッシング詐欺などに用いられる偽装Webサイトといった用途に悪用される可能性がある。
Secuniaは12月16日、Internet Explorerにクロスサイトスクリプティング攻撃を許す脆弱性が存在するとし、アドバイザリを発行した。
この脆弱性は、IEのDHTML Edit ActiveXコントロールのexecScript()ファンクションの処理に存在する。細工を施したHTMLコードを通じてこの問題を悪用すれば、任意のWebサイトとのセッションの間に、攻撃者が指定した任意のスクリプトコードを実行することが可能になるという。
情報によれば、脆弱性が存在するのはWindows版のIE 6。Windows XP Service Pack 1/2でパッチをすべて適用した状態でも、問題が再現されたという。
Secuniaでは、脆弱性を実証するためのWebサイトも公開した。このデモは、細工を施したリンクをクリックさせて新しいウィンドウを開くと、アドレスバーが偽装されるという内容だ。Cookie情報やセッションIDの取得、あるいは悪意あるプログラムのばら撒きやフィッシング詐欺などに用いられる偽装Webサイトといった用途に悪用される可能性がある。