Internet Watch logo
記事検索
最新ニュース

IE 6にパッチ未提供の脆弱性、実証コードすでに公開済み


 Internet Explorer(IE)6に、クロスドメインスクリプティングの脆弱性があることがわかった。修正パッチが提供されておらず、すでに実証コードも公開されているため、SecuniaやUS-CERTなどが注意を呼びかけている。

 デンマークのSecuniaによると、この脆弱性は、ウィンドウオブジェクトの“location”および“location.href”プロパティを処理する際の入力検証エラーが原因。攻撃者はこの脆弱性を悪用することで、別のドメインのサイトのコンテンツを装って任意のスクリプトを実行させることが可能になる。また、US-CERTのブログによると、Cookieを盗んだり、セッションを乗っ取ることも可能だと説明している。

 Secuniaでは深刻度について、5段階中で3番目の“Moderately Critical”とレーティング。また、Windows XP SP2上のIE 6で影響を受けることを確認しているとしており、回避策としてはIE7にアップデートすることを挙げている。US-CERTでは、アクティブスクリプトを無効にすることも回避策として示している。

 「McAfee Avert Labs Blog」の6月25日付けの記事によると、この脆弱性は、中国のセキュリティ関連メールマガジンで言及されたことで公になった模様だ。また、5月に行われた「Microsoft BlueHat Security Briefings: Spring 2008」で報告された、IEにおける“幽霊ページ”の問題にも似ていると指摘している。


関連情報

URL
  Secuniaのセキュリティアドバイザリ(英文)
  http://secunia.com/advisories/30857/
  US-CERTセキュリティアドバイザリ(英文)
  http://www.kb.cert.org/vuls/id/923508
  US-CERTのブログの該当記事(英文)
  http://www.us-cert.gov/current/index.html#microsoft_internet_explorer_6_cross
  McAfee Avert Labs Blogの該当記事(英文)
  http://www.avertlabs.com/research/blog/index.php/2008/06/25/cross-domain-zero-day-ie6-in-chinese-e-zine/


( 永沢 茂 )
2008/06/27 16:08

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.