JVNDB-2008-001474
|
Microsoft Internet Explorer 6 にクロスドメインの脆弱性
|
|
Microsoft Internet Explorer 6 には、クロスドメインの脆弱性が存在します。結果として、許可されていない他ドメインのコンテンツへアクセスされる可能性があります。
Microsoft Internet Explorer では、フレーム間の情報のやりとりを制御するために、Internet Security Manager Object によって URL がどのゾーンやドメインに属するのか、どのようなアクションが許可されるかを規定しています。
Internet Explorer 6 には、特定の手法でフレームに表示するページロケーションを変更された場合、適切にクロスドメインセキュリティモデルが機能しない脆弱性が存在します。
なお、本脆弱性に関する実証コードが公開されています。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
マイクロソフト
- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 7
|
|
|
第三者によって細工された HTML ドキュメント(ウェブページや HTML 形式のメール)をユーザが閲覧した場合、他のフレームで表示している他ドメインのコンテンツにアクセスされる可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
マイクロソフト
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2008-2947
|
|
- JVN : JVNVU#923508
- JVN : JVNTA08-288A
- JVN Status Tracking Notes : TRTA08-288A
- National Vulnerability Database (NVD) : CVE-2008-2947
- JPCERT 緊急報告 : JPCERT-AT-2008-0017
- 警察庁 @police : 20081015_110510
- US-CERT Cyber Security Alerts : SA08-288A
- US-CERT Vulnerability Note : VU#923508
- US-CERT Technical Cyber Security Alert : TA08-288A
- Secunia Advisory : SA30857
- SecurityFocus : 29960
- ISS X-Force Database : 43366
- FrSIRT Advisories : FrSIRT/ADV-2008-1940
|
|
- [2008年07月14日]
掲載
[2008年11月10日]
ベンダ情報:マイクロソフト(MS08-058)を追加
対策:対策方法の記述を更新しました
|
