脆弱性
IEのフレーム処理に脆弱性 - ゼロデイ攻撃のおそれも
Internet Explorerのフレーム処理に脆弱性が見つかった。すでに実証コードが公開されており、ゼロデイ攻撃を受けるおそれがある。
本来「IFRAME」タグにより表示されたページから、フレームを呼び出した親ページに対するデータ操作については、制限が加えられているが、JVNによれば、脆弱性が存在するために「ActiveScript」を利用することで親ページに対するキーストロークなどの盗聴が可能となるという。
さらにIE 6においても、フレーム処理においてもクロスドメインの脆弱性があり、特定の方法でフレームに表示するページが変更された場合、フレーム間におけるデータ制御のセキュリティが機能せず、他フレームで表示されている他ドメインのコンテンツへアクセスされるおそれがある。
それぞれ実証コードも公開されているが、脆弱性を解消するアップデータは提供されていない。これら脆弱性に対する攻撃を回避するにはActiveScriptを無効にする必要がある。
マイクロソフト
http://www.microsoft.com/japan/
JVN
http://jvn.jp/
(Security NEXT - 2008/07/01更新)
本サイトの記事、図版等の無断転載を禁止します。
関連記事
Accessのスナップショットビューワにゼロデイ攻撃 - MSがアドバイザリIEのフレーム処理に脆弱性 - ゼロデイ攻撃のおそれも
Flash Playerに脆弱性 - 攻撃コード公開され被害拡大のおそれも
月例パッチで公開済みJet DBの脆弱性へ対応 - マイクロソフト
Wordファイル利用したゼロデイ攻撃に注意 - Jetの脆弱性を悪用
MS、セキュリティパッチ11件を公開 - IEの公開済み脆弱性に対応
Excelの複数バージョンに脆弱性 - MSがゼロデイ攻撃を確認
年明け最初のセキュリティパッチは「緊急」1件含む2件 - マイクロソフト
一太郎へのゼロデイ攻撃は多数製品に影響 - ジャストシステムがセキュリティパッチを公開
一太郎に再び脆弱性 - ゼロデイ攻撃をセキュリティベンダーが警告
