『IE』に新たな脆弱性、XSS 攻撃を可能に - japan.internet.com Webテクノロジー

｜

	トップページ
	Webビジネス
	Eコマース
	Webファイナンス
	Webマーケティング
	パブリック
	Webテクノロジー
	携帯・ワイヤレス
	Linux Today
	Linux Tutorial
	J.I.C.ブログ

	転職ならen
	派遣ならen
	アルバイトならen
	ＩＴ求人情報

	今日のヘッドライン
	週間ヘッドライン

	ロレックス
	フォトコミュニティ
	ストックフォト
	クリップアート
	イラスト
	フェリカ
	Web2.0

	イベントカレンダー
	書評「IT の耳」
	出張・接待検索
	ニュースガジェット

	新規登録
	変更・解除
	オプトインメールの登録・変更・解除

	パートナーサイト
	転職ならエン就職ならen 求人ならen 履歴書ならen アルバイトならエン CRM/SFAならオラクル
	グループ会社
	株式会社アエリア (株)サンゼロミニッツ株式会社エアネット
	お問い合わせ
	広告掲載について
	リンクについて
	著作権について
	その他お問い合わせ
	利用規約
	個人情報保護方針
	会社概要（地図）

Webテクノロジー

2004年12月21日 00:00

Webテクノロジー・バックナンバー

『IE』に新たな脆弱性、XSS 攻撃を可能に

著者: Sean Michael Kerner 　オリジナル版を読むプリンター用記事を転送
▼2004年12月21日 00:00 付の記事
■海外internet.com発の記事

Greyhats Security Group というセキュリティ調査グループが、Microsoft の『Internet Explorer (IE)』に新たな脆弱性があると報告し、裏付けとして脆弱性悪用の実証例も示した。

同脆弱性は、自称「Paul」という Greyhat メンバーの1人が指摘したもので、Secunia などのセキュリティ調査会社でも、全てのパッチを適用した『Windows XP』(『XP SP2』導入済み) および『IE 6』の環境でこれを確認している。

Secunia は「問題の脆弱性は、DHTML Edit ActiveX コントロールのエラーが原因で、特定状況下で execScript() 関数を処理しようとした際に発生する」と述べ、同脆弱性の深刻度を5段階中の3番目とした。この脆弱性「MSIE DHTML Edit Control Cross Site Scripting Vulnerability」を悪用すれば、クロスサイトスクリプティング (XSS) 攻撃を実行することができる。また、cookie ベースの認証情報を盗むことも可能だ。

Greyhat の Paul 氏は、問題の脆弱性を発見し、悪用例を実証するにいたった経緯について説明している。DHTML Edit コントロールについては、すでに別のセキュリティ研究者がその脆弱性を突いてポップアップブロックを回避できることを指摘していたが、Paul 氏はこれを見て同コントロールに関心を持つようになったという。

Secunia はユーザーに対し、「インターネット」ゾーンのセキュリティレベルを「高」に設定することで ActiveX サポートを無効にするよう勧告している。また、XP SP2 ユーザーは、「ツール」の｢アドオンの管理｣を通じて、問題の ActiveX コントロールを無効化することもできるという。

関連記事

Google、デスクトップ検索ツールの脆弱性を修正

Adobe、複数の脆弱性に対応する修正プログラム公開

Microsoft、12月の月例セキュリティ情報を公開

複数の Web ブラウザにコンテンツ差し替えの脆弱性

IE をめぐる特許侵害訴訟が控訴審へ

関連テーマ

Microsoft


	users

★最新トップニュース

	【MobileContentToday】Apple が再び市場シェア拡大（携帯・ワイヤレス 7月19日 12:00）
	Macintosh プラットフォームはまだ、iPhone の七光り効果に喜んでいるだろうか？そうとは言いがたいところだ。しかし、CNET 発のニュースによると、Windows があまり期待していない間に、Apple はデスクトップ市場においてシェア拡大を続けたようだ。
	あらゆるゲームを Web カムを使って操作するための「CamSpace」（Webビジネス 7月19日 09:00）
	CamSpace は Web カムをゲームのコントローラーとして使うためのミドルウェアのようだ。
	au 携帯「Wooo ケータイ」「G’zOne」「Cyber-shot ケータイ」を19日発売（携帯・ワイヤレス 7月18日 18:10）
	KDDI、沖縄セルラーは、2008年7月18日、au 携帯電話の新ラインアップとして、「Wooo ケータイ W62H」（日立製作所製）、「G’zOne W62CA」（カシオ計算機製）、および「Cyber-shot ケータイ W61S」（ソニー・エリクソン製）の新カラーを7月19日に全国一斉発売すると発表した。
	松下電工 IS、Egenera ユーザーから販売代理店に（Webファイナンス 7月18日 17:50）
	松下電工 IS では、2004年から Egenera BladeFrame システムを使用しており、国内のユーザー企業では初めて、イージェネラと販売代理店契約を締結した。
	【中国】中国電信、2008年 CDMA 事業投資、およそ300億元を予定（Webファイナンス 7月18日 17:40）
	7月17日、中国国内メディアの報道によれば、中国電信（チャイナ・テレコム）は2008年 CDMA 事業へ270億～300億元（約4,181億4,630万―4,646億700万円）を投資する予定を明らかにした。

	オススメのＩＴ系求人情報【毎週月曜日更新】
<A HREF="http://210.155.151.148/link/?media=807" TARGET="_blank"> <IMG SRC="http://210.155.151.148/img/?media=807" border="0"></A>
<A HREF="http://210.155.151.148/link/?media=808" TARGET="_blank"> <IMG SRC="http://210.155.151.148/img/?media=808" border="0"></A>

	デイリーリサーチ／ DLサイト
	OnlineResearchPortal　(リサーチデータバンク)
	モバイルリサーチ with goo

	iPhone		Youtube
	Google		モバイルノート
	半導体		ウィルコム
	テーマ一覧はこちら

第1回インターネットコムマーケティングセミナー「新規クライアントを効率的に獲得する Web マーケティング手法とは」(3月26日)多数のご参加ありがとうございました

	DevX
	CodeGuru
	developer.com

ＩＴ部門のジレンマ、解決します。
Oracle Database 11g 関連情報満載。
小冊子ダウンロードサービスも。

《オンラインＳＯＡ診断》実施中！
貴社のシステムとビジネスの現状から、
ＳＯＡ化の必要性をチャートで診断。

ブログ一覧

【Graphic Design Forum】

あなたはどちら？　（7月18日）

【データメーション】

いよいよ個人的になる問題（7月18日）

【ジュピターメディア創設者がITを斬る】

Alan を探せ（7月18日）

【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】

「『訪問歯科診療』のパイオニア」／デンタルサポート株式会社（7月15日）

【エンジニアの独り言】

iPhone 買いました。（7月15日）

【デスマーチからの脱却】

mod_rewriteを使ったiPhone対応（7月12日）

	百式のネットビジネス研究あらゆるゲームを Web カムを使って操作するための「CamSpace」（7月19日）
	DevX PerformancePoint 2007: Planning Serverのインストール（7月18日）
	最新ハイテク講座 10万馬力どころじゃない！　小型ノート PC を超安くした「Atom」（7月18日）
	アイレップの SEO スタンダード PC SEO 対策とモバイル SEO 対策5つの相違点（7月18日）
	「IT の耳」【書評】『グリーン IT』――コスト削減と温暖化対策を両立する IT 効率化の戦略（7月17日）
	週刊-サイト別アクセス状況データビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)（7月17日）
	気になるトレンド用語ニコニコ動画の命運も左右する？　MAD 動画（7月16日）
	ウチのサイトを SEO そもそも SEO ってなに？（7月16日）
	エンジニア転職ノウハウ開発室約６割が残業規制に満足？エンジニア残業代の実態調査（7月15日）
	アイレップの SEM フロンティアマーケットデータ取得で発見する SEM の新展開（7月15日）

	セキュリティチャネル		テレコムチャネル
	サーチエンジンウォッチ

海外のインターネットコム　アメリカ｜韓国｜ドイツ｜トルコ