IEに未修正の脆弱性 - 実証コードは公開済み

「Internet Explorer」に未修正の脆弱性が含まれていることがわかった。ゼロデイ攻撃は確認されていないが、実証コードはすでに公開されているという。

今回明らかになったのは、同一生成元ポリシーの制約を迂回できる「ユニバーサルクロスサイトスクリプティング（UXSS）」の脆弱性「CVE-2015-0072」。セキュリティ関係者が脆弱性情報を交換するメーリングリストに投稿された。

トレンドマイクロによれば、同脆弱性では細工したURLにアクセスさせることで、任意のドメイン上での任意のスクリプトが実行でき、不正なスクリプトの実行をはじめ、Cookieの窃取、他サイトへの誘導などへ悪用されるおそれがある。

正規ドメインを表示させつつ、攻撃者が用意したフィッシング用の画面を閲覧させるといった行為が可能になることから、悪質なフィッシングサイトに脆弱性が利用される可能性があると指摘。ゼロデイ攻撃は確認されていないものの、すでに実証コード（PoC）が公開済であり、悪用される危険性が高いとして注意を呼びかけている。

（Security NEXT - 2015/02/06 ） ツイート

PR

関連記事

ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
「Erlang/OTP」「RoundCube」の既知脆弱性が標的に - 米当局が注意喚起
QNAP、アドバイザリ9件を公開 - 複数脆弱性を修正
アプリ生成「Lovable」に脆弱性 - 生成プロジェクトに影響
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
バックアップストレージ用ソフト「HPE StoreOnce」に複数脆弱性
「Roundcube」脆弱性、詳細やPoCが公開予定 - 早急に対応を
Auth0の複数SDKに脆弱性 - 細工Cookieでコード実行のおそれ
米CISA、「Chromium」脆弱性の悪用に注意喚起 - 派生ブラウザも警戒を
「MS Edge」にアップデート - ゼロデイ脆弱性を解消