すべての「Windows」オペレーティングシステム(OS)が影響を受けるゼロデイ脆弱性が、ハッカーの標的になっているとMicrosoftが警告している。 この脆弱性は、Microsoftが1月に公開したセキュリティアドバイザリで初めて明らかにしたもので、「Internet Explorer」(IE)によるリクエストの応答に攻撃者がクライアント側のスクリプトを挿入することを許すおそれがある。このスクリプトを利用すれば、ユーザーになりすましてオンラインで何らかの操作を行ったり、ユーザーの情報を窃取するなどユーザーをあざむき、被害をもたらす手段を実行することが可能だ。 Microsoftは、1月に公開したセキュリティアドバイザリを米国時間3月11日に更新し、実際の攻撃が発生していることを確認したと述べている。
マイクロソフトは1月29日、現在サポートされている「Windows」のMHTMLの脆弱性により情報漏えいが起こる可能性があるというセキュリティアドバイザリを公開した。この問題には「CVE-2011-0096」が割り振られている。 この脆弱性は、MHTMLが文書内のコンテンツブロックのMIME形式のリクエストを解釈する方法に起因する。特定の状況で攻撃者が標的となるユーザーの「Internet Explorer」のコンテキストで実行されているウェブリクエストの応答にクライアント側のスクリプトを挿入される可能性がある。 悪用されると、標的となるユーザーがウェブサイトを訪問した際に悪意のあるスクリプトを実行され、情報漏えいが起こる可能性がある。この影響は、サーバ側のクロスサイトスクリプティング(XSS)の脆弱性に類似しているという。 同社では、検証コードの存在を認識しているという。現時点で、同社は
hoshikuzu | star_dust の書斎#P20060428MHTMLREDIRECT で指摘されているように、現在の WinIE では mhtml スキームを悪用して、クロスドメインの html を取得することが可能になってしまっています。これを利用したはまちちゃんの実証コードを踏んだ人も居るでしょう(実際に WinIE だと情報が抜かれるので、安易に WinIE で見に行かないで下さい)。 この対策として id:hosikuzu:20060428#P20060428MHTMLREDIRECT では以下のような対策方法が提示されています。 そもそも信頼できないページを見ない IE使わない アクティブスクリプトとAxtiveXを切る レジストリでmhtmlスキームのハンドラを殺す この中で一番簡単かつ安心なのは WinIE を使わないことですが、IE コンポーネントブラウザなどを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
