IE6のクロスドメインスクリプティングの脆弱性を検証(NTTデータ・セキュリティ) | ScanNetSecurity
2024.03.29(金)

IE6のクロスドメインスクリプティングの脆弱性を検証(NTTデータ・セキュリティ)

NTTデータ・セキュリティ株式会社は7月7日、IE6のクロスドメインスクリプティングの脆弱性についての検証を実施したと発表した。これは、IE6のウィンドウオブジェクト「location」および「location.href」のプロパティの入力検証処理にクロスドメインスクリプティングの

製品・サービス・業界動向 業界動向
NTTデータ・セキュリティ株式会社は7月7日、IE6のクロスドメインスクリプティングの脆弱性についての検証を実施したと発表した。これは、IE6のウィンドウオブジェクト「location」および「location.href」のプロパティの入力検証処理にクロスドメインスクリプティングの脆弱性が発見されたことを受けたもの。この脆弱性は7月7日現在、修正プログラムがリリースされていないため、注意が必要としている。

検証は、IE6がインストールされたWindows XP SP2をターゲットシステムに使用した。ターゲットシステムに悪意のあるユーザが用意したサイトにアクセスさせることで、信頼できるサイトのCookieを取得する。検証に私用したスクリプトは、異なるドメインで利用しているCookieを悪意のあるユーザが用意したサイトへ送信するもの。この結果、悪意のあるユーザは取得したCookieを利用し、なりすましを行うことが可能であることが判明した。

http://www.nttdata-sec.co.jp/column/report20080707.pdf
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×