Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IE 6の未パッチ脆弱性「クロスドメイン」の検証レポートを公開 - NTTデータ・セキュリティ

NTTデータ・セキュリティは、Internet Explorer 6に見つかったクロスドメインの脆弱性に関する検証レポートを取りまとめ、公表した。

本来、異なるドメイン間でスクリプトはセキュリティ上実行できないが、IE 6のウインドウオブジェクトのプロパティにおいて入力検証処理に脆弱性があり、Cookieが取得されるなど被害に遭う可能性がある。JVNにおいても、6月末に実証コードが公表されているとして注意喚起を行っている。

同社では、今回の脆弱性について検証システムを用意して具体的な内容を紹介。スクリプトが埋め込まれた悪意あるサイトから信頼できるサイトへアクセスさせ、Cookieを取得した上で不正サイトへURLとして送信される一連の流れを詳しく解説している。

同社では、信頼できるサイトに脆弱性が存在しなくても不正にデータを取得され、Cookieがなりすましなどに利用される可能性があると脆弱性の深刻さを指摘。不審なメールやウェブサイトへのアクセスを控えたり、アクティブスクリプトの無効化、IE 7へのアップデートなど対策を取るよう呼びかけている。

NTTデータ・セキュリティ
http://www.nttdata-sec.co.jp/

(Security NEXT - 2008/07/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

源泉所得税の振込依頼書を紛失、徴収漏れも発生 - 大阪市
「VMware Workstation」「Fusion」に脆弱性 - アップデートで対応
D-Link製の一部ルータにバックドアが判明 - サポート終了で修正予定なし
「strongSwan VPN」に脆弱性 - サービス拒否に陥るおそれ
6割強が「個人情報の保護を怠る企業からは購入しない」
複数ネットワーク機器に感染する「VPNFilter」が判明 - 少なくとも54カ国50万台に感染か
情報漏洩対策製品の国内市場、2017年は前年比2%増
パーソナルデータ利用、旅行先では日常より許容する傾向
全指名業者記載のファックス誤送信で入札が中止に - 千葉県
NoSQL DB「Redis」を狙うアクセスが増加 - マイニングマルウェアの感染狙いか