Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IEのフレーム処理に脆弱性 - ゼロデイ攻撃のおそれも

Internet Explorerのフレーム処理に脆弱性が見つかった。すでに実証コードが公開されており、ゼロデイ攻撃を受けるおそれがある。

本来「IFRAME」タグにより表示されたページから、フレームを呼び出した親ページに対するデータ操作については、制限が加えられているが、JVNによれば、脆弱性が存在するために「ActiveScript」を利用することで親ページに対するキーストロークなどの盗聴が可能となるという。

さらにIE 6においても、フレーム処理においてもクロスドメインの脆弱性があり、特定の方法でフレームに表示するページが変更された場合、フレーム間におけるデータ制御のセキュリティが機能せず、他フレームで表示されている他ドメインのコンテンツへアクセスされるおそれがある。

それぞれ実証コードも公開されているが、脆弱性を解消するアップデータは提供されていない。これら脆弱性に対する攻撃を回避するにはActiveScriptを無効にする必要がある。

マイクロソフト
http://www.microsoft.com/japan/

JVN
http://jvn.jp/

(Security NEXT - 2008/07/01 ) このエントリーをはてなブックマークに追加

PR

関連記事

ゼロデイ攻撃への悪用目立つ「権限昇格の脆弱性」
WP向けソーシャルボタンプラグインにゼロデイ攻撃 - アップデートが緊急公開
MS、月例パッチで脆弱性64件を解消 - 2件はゼロデイ攻撃を確認済み
「Windows 7」に権限昇格のゼロデイ脆弱性 - 標的型攻撃で積極的な悪用
「Chrome」へのゼロデイ攻撃が明らかに - 早急に最新版へ更新を
WP向け寄付管理プラグインに深刻な脆弱性 - ゼロデイ攻撃発生中
2019年最初のMS月例パッチ - 脆弱性49件を解消
Windowsにゼロデイ脆弱性 - ALPC脆弱性と同一人物が再度調整なしにコード公開
MS、IE向けに緊急定例外アップデート - ゼロデイ攻撃が発生
MS、2018年最後の月例セキュリティ更新 - 一部脆弱性でゼロデイ攻撃も