JVNDB-2002-000225
|
Microsoft Internet Explorer の frame におけるクロスサイトスクリプティングの脆弱性
|
|
------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------
Internet Explorer (IE) 6.0 SP1 以前には、クロスドメインセキュリティチェックの実装に不備が存在します。
通常、IE が JavaScript を利用してアクセスできる DOM (Document Object Model) は同一ドメイン内のページに限られます。FRAME や IFRAME を利用して異なるドメインのページを呼び出しているときも、クロスドメインセキュリティチェックにより異なるドメインの DOM へのアクセスは制限されています。
しかし、オブジェクトの最初の一文字を大文字で記述することにより、クロスドメインセキュリティチェックを回避し異なるドメインの DOM にアクセスできるという問題が存在します。
また OBJECT タグに関連したセキュリティチェックを回避する問題が存在し、 IE が一時的に利用するファイルの格納用フォルダへのパスが漏洩する可能性があります。
尚、このフォルダは Windows 2000 および Windows XP では典型的に以下の場所に存在しています。
%USERPROFILE%/Local Settings/Temporary Internet Files/Content.IE5
さらに FRAME の取り扱いに不備があり、クロスサイトスクリプティング攻撃を実行されてしまう問題が存在します。
これらの問題により、リモートの攻撃者はクッキーの取得やローカルファイルの閲覧、またマイコンピュータゾーンで任意のスクリプトの実行が可能です。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
マイクロソフト
- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6
|
|
|
本脆弱性に伴う影響については、「概要」をご参照ください。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
マイクロソフト
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2002-1187
|
|
- National Vulnerability Database (NVD) : CVE-2002-1187
- SecurityFocus : 5672
- SecurityFocus : 6217
- SecurityFocus : 5963
|
|
|
