Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IEのフレーム処理に脆弱性 - ゼロデイ攻撃のおそれも

Internet Explorerのフレーム処理に脆弱性が見つかった。すでに実証コードが公開されており、ゼロデイ攻撃を受けるおそれがある。

本来「IFRAME」タグにより表示されたページから、フレームを呼び出した親ページに対するデータ操作については、制限が加えられているが、JVNによれば、脆弱性が存在するために「ActiveScript」を利用することで親ページに対するキーストロークなどの盗聴が可能となるという。

さらにIE 6においても、フレーム処理においてもクロスドメインの脆弱性があり、特定の方法でフレームに表示するページが変更された場合、フレーム間におけるデータ制御のセキュリティが機能せず、他フレームで表示されている他ドメインのコンテンツへアクセスされるおそれがある。

それぞれ実証コードも公開されているが、脆弱性を解消するアップデータは提供されていない。これら脆弱性に対する攻撃を回避するにはActiveScriptを無効にする必要がある。

マイクロソフト
http://www.microsoft.com/japan/

JVN
http://jvn.jp/

(Security NEXT - 2008/07/01 ) このエントリーをはてなブックマークに追加

PR

関連記事

ZyXELのNAS製品にゼロデイ脆弱性 - 悪用コードが闇市場に
MS、月例パッチで脆弱性99件を解消 - ゼロデイ脆弱性も修正
「IE」脆弱性に対するゼロデイ攻撃、国内でも
「Citrix ADC」へのゼロデイ攻撃、国内でも11日より観測
「Citrix ADC」狙う悪用コード出回る - ゼロデイ攻撃に注意
MS月例パッチが公開、脆弱性35件を修正 - 一部ですでに悪用も
「Windows」ゼロデイ脆弱性、「Chrome」狙う水飲み場攻撃で悪用
MS月例更新がリリース、脆弱性74件を修正 - 一部でゼロデイ攻撃も
「Chrome」ゼロデイ脆弱性、水飲み場攻撃「WizardOpium作戦」に悪用
「Chrome」に2件の脆弱性、アップデート公開 - ゼロデイ攻撃も確認