GreyMagic Software社は、Internet Explorer 5.5および6.0、6.0SP1にクロスフレームスクリプティング脆弱性があり、Cookie情報やローカルファイルの読み出しやローカルプログラムの起動などが可能であると警告した。
FRAMEおよびIFRAMEで表示したHTMLページに対して、攻撃者が設定したスクリプトがオリジナルのURLおよびゾーン設定のまま実行されてしまうというもので、任意のサイトのCookie情報が盗めるほか、IE6.0ではローカルファイルの読み出しや実行すら可能になる。
IE6.0には、マイコンピュータゾーンのIFRAMEをもつリソース(res://shdoclc.dll/privacypolicy.dlg)が標準で組み込まれているため、攻撃者は誰でも固定のリソース名でマイコンピュータゾーンの権限を取得できることになる。マイコンピュータゾーンでは、ファイルへのアクセスや実行が可能となるため非常に危険である。(privacypolicy.dlgはIE5.5にはないが、マイコンピュータゾーンのIFRAMEをもつファイルがあればIE5.5でも同じことが可能なため、5.5なら安全というわけではない)。
この脆弱性は、Windows UpdateでIEを最新の状態にしてあっても攻撃可能なため、同社ではアクティブスクリプト機能をオフにするよう勧めている。
《RBB TODAY》
page top
