2004年09月21日(火) 23時30分

IEやMozillaなどに悪意あるCookieでセッションIDが乗っ取られる脆弱性（impress Watch）

　デンマークのセキュリティベンダー会社Secuniaは18日、「Internet Explorer」v5.01以降、「Mozilla」の全バージョン、「Firefox」v1.00未満に、悪意あるCookieでセッションIDが乗っ取られる脆弱性があると公表した。

　本脆弱性は、WebサイトがセカンドレベルドメインでCookieを作成できることが原因で発生する。だだし、Webサイトのトップレベルドメインが“.com”“.net”“.mil”“.org”“.gov”“.edu”“.nor”“.int”以外であり、かつセカンドレベルドメインが2文字以上である場合のみ。日本のWebサイトはトップレベルドメインが“.jp”であることが多く、例えば“.co.jp”や“.ne.jp”などで終わるURLのWebサイトは本件に該当する。

　脆弱性の回避方法としては、WebブラウザーのCookie機能をOFFにしたり、該当ドメインの信頼できないWebサイトは閲覧しないことなどが挙げられる。

□Secunia - Advisories - Internet Explorer Cross-Domain Cookie Injection Vulnerability

http://secunia.com/advisories/12581/

□Secunia - Advisories - Mozilla / Mozilla Firefox Cross-Domain Cookie Injection Vulnerability

http://secunia.com/advisories/12580/

（中井 浩晶）

http://headlines.yahoo.co.jp/hl?a=20040921-00000028-imp-sci