Internet Watch logo
記事検索
最新ニュース

IE 6にクロスサイトスクリプティングの脆弱性〜Secuniaが公表


 デンマークのSecuniaは16日、Internet Explorer(IE)にクロスサイトスクリプティングの脆弱性があると報告した。パッチをフル適用したWindows XP SP1/SP2のIE 6で発生することが確認されたとしている。Secuniaでは危険度を5段階中3番目の“Moderately Critical”と評価している。

 この脆弱性は、ユーザーが任意のサイトを閲覧しているセッションにおいて、攻撃者によって任意のスクリプトを実行できるというもの。ある条件下において、ActiveXコントロールのDHTML Editが「execScript()」ファンクションを取り扱う際に発生するエラーが原因だという。

 この脆弱性を悪用することで、例えばアドレスバーには信頼できるWebサイトのURLが表示された状態で、ページ内に別のサイトを表示できる。このサイト上でユーザーに対してクレジットカード情報の入力を促すなどフィッシングに悪用することが可能になるほか、Cookieを簡単に盗み取ることもできるという。

 Secuniaではこの脆弱性のデモンストレーションページを用意しており、ユーザーが使用しているWebブラウザが実際に影響を受けるかどうかテストできるようになっている。なお、Secuniaでは対処方法として、Webブラウザの設定でインターネットゾーンのセキュリティレベルを「高」にする(ActiveXを無効にする)ことを挙げている。


関連情報

URL
  Secuniaのセキュリティアドバイザリ(英文)
  http://secunia.com/advisories/13482/


( 永沢 茂 )
2004/12/17 18:19

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.