マイクロソフトは1月29日、現在サポートされている「Windows」のMHTMLの脆弱性により情報漏えいが起こる可能性があるというセキュリティアドバイザリを公開した。この問題には「CVE-2011-0096」が割り振られている。 この脆弱性は、MHTMLが文書内のコンテンツブロックのMIME形式のリクエストを解釈する方法に起因する。特定の状況で攻撃者が標的となるユーザーの「Internet Explorer」のコンテキストで実行されているウェブリクエストの応答にクライアント側のスクリプトを挿入される可能性がある。 悪用されると、標的となるユーザーがウェブサイトを訪問した際に悪意のあるスクリプトを実行され、情報漏えいが起こる可能性がある。この影響は、サーバ側のクロスサイトスクリプティング(XSS)の脆弱性に類似しているという。 同社では、検証コードの存在を認識しているという。現時点で、同社は
数十の著名ウェブサイトで、過去数週間に100万件の検索クエリが「毒された」とセキュリティアナリストのDancho Danchev氏は指摘する。 攻撃者らは、プログラミングエラーを利用し、特定の検索クエリに自動的に悪意あるHTMLコードを仕込むことにより、キーワード検索を乗っ取っている。攻撃者に乗っ取られたサイト上で、訪問者が検索中に知らずに特定のキーワードを入力すると、偽装サイトにリダイレクトされてしまう。 そして、攻撃者はそこで、被害者のコンピュータにマルウェアをインストールしようとする。 実際に被害に遭った著名ウェブサイトとしては、USAToday.com、Target.com、ABCNews.com、Walmart.com、さらにNews.comの発行者である米CNET Networksが所有するいくつかのサイトなどが挙げられる。 また米国時間3月26日夜の時点では、CNETとUSA
Webアプリケーションのぜい弱性を示す用語として,クロスサイト・スクリプティング,SQLインジェクションといった言葉の認知度はかなり高まった。ブログ・サイトなどでも活発に議論されている。しかし,Webサイトの実態はどうだろうか。 筆者の所属する京セラコミュニケーションシステムでは昨年(2006年),ぜい弱性診断を実施したWebサイトの統計情報「2007年版 Webアプリケーションぜい弱性傾向」を発表した。これによると,パソコン向けWebサイトの48%に致命的なぜい弱性が見つかった。このうちワースト1位はクロスサイト・スクリプティングで56%,2位はSQLインジェクションで11%と,どちらもインジェクション(注入)系のぜい弱性。これらのぜい弱性を持った危険なサイトは依然として存在するのが実情である。 これらWebアプリケーションのぜい弱性があまりなくならない理由はいくつかあるが,以前は「ぜい
eXperts Connection はシステム エンジニアやシステム管理者を対象とし、マイクロソフトのサーバー システム製品を中心に情報交換や意見交換を行うコミュニティです。ユーザーとマイクロソフトからなるチームでテーマを厳選して議論し、情報を共有・蓄積していきます。また、エキスパート コネクションは .NET Framework上で作成されており、サイト上でソースコードを公開しています。ソースコードに対する機能追加や修正に関する議論を行うことで、お客様が作成する.NET アプリケーションの参考にすることが可能です。 eXConn Blogsでは 「マイクロソフト社員による個人または部門(チーム)の Blog」 の運用を行っています。 このブログでは、マイクロソフトでの経験を活かした部門チームが、セキュリティエンジニアを目指している未経験者達が今後取るべき資格や、IT業界においてのセキュ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
