2004年12月17日(金) 23時32分

IEに“クロスサイト・スクリプティング”攻撃を受けてしまう脆弱性が見つかる（impress Watch）

写真:インプレス 　 　デンマークのセキュリティベンダー会社Secuniaは16日、「Internet Explorer」v6（以下、IE6）に、“クロスサイト・スクリプティング”攻撃を受けてしまう脆弱性が存在することを公表した。同社は、Windows XP SP1/2のIE v6でこの脆弱性を確認したとのこと。

　本脆弱性は、ダイナミックHTML編集コントロール“DHTML.ocx”が“execScript”メソッドを正しく処理できないことに起因し、悪意のあるユーザーが作成した任意のコードがWebブラウザーを通じて実行され、たとえばアドレスバーの表示が偽装されるなどの攻撃を受ける可能性がある。

　現在、この脆弱性を修正するためのプログラムは提供されていない。同社では対応策として、インターネットオプションにある“インターネット”ゾーンのセキュリティレベルを“高”にし、ActiveXコントロールを無効にすることを挙げている。

□Secunia - Advisories - Internet Explorer DHTML Edit ActiveX Control Cross-Site Scripting

http://secunia.com/advisories/13482/

（石川 敬峰）

http://headlines.yahoo.co.jp/hl?a=20041217-00000027-imp-sci