Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

IE 6の未パッチ脆弱性「クロスドメイン」の検証レポートを公開 - NTTデータ・セキュリティ

NTTデータ・セキュリティは、Internet Explorer 6に見つかったクロスドメインの脆弱性に関する検証レポートを取りまとめ、公表した。

本来、異なるドメイン間でスクリプトはセキュリティ上実行できないが、IE 6のウインドウオブジェクトのプロパティにおいて入力検証処理に脆弱性があり、Cookieが取得されるなど被害に遭う可能性がある。JVNにおいても、6月末に実証コードが公表されているとして注意喚起を行っている。

同社では、今回の脆弱性について検証システムを用意して具体的な内容を紹介。スクリプトが埋め込まれた悪意あるサイトから信頼できるサイトへアクセスさせ、Cookieを取得した上で不正サイトへURLとして送信される一連の流れを詳しく解説している。

同社では、信頼できるサイトに脆弱性が存在しなくても不正にデータを取得され、Cookieがなりすましなどに利用される可能性があると脆弱性の深刻さを指摘。不審なメールやウェブサイトへのアクセスを控えたり、アクティブスクリプトの無効化、IE 7へのアップデートなど対策を取るよう呼びかけている。

NTTデータ・セキュリティ
http://www.nttdata-sec.co.jp/

(Security NEXT - 2008/07/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
SonicWall製ファイアウォールにDoS脆弱性 - SSL VPN有効時に影響
エプソン製プロジェクターに脆弱性 - 310機種に影響
国勢調査員が書類紛失、外部持出なしと説明 - 生駒市
県立校文化祭、事前登録者への案内メールで誤送信 - 埼玉県
KDDIとNEC、セキュリティ分野で合弁会社United Cyber Forceを設立
マルウェアの挙動をリアルタイム監視するOSSを公開 - JPCERT/CC
小学校児童の画像を含むカメラとメモリが所在不明 - 名古屋市
「Apache Causeway」に深刻な脆弱性 - アップデートで修正
行政相談のメモを一時紛失、相談員宅で見つかる - 総務省

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.