JVNDB-2008-003998

JVNDB-2008-003998
Windows 上の Skype の Internet Explorer Web コントロールにおけるクロスゾーンスクリプティングの脆弱性
概要
Windows 上で稼動する Skype の Internet Explorer Web コントロールには、クロスゾーンスクリプティングの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 9.3 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

Skype Technologies S.A. Skype 3.6.0.244 およびそれ以前、3.5.x、および 3.6.x マイクロソフト Microsoft Internet Explorer

想定される影響
攻撃者により、"Add video to chat" ダイアログ内の検索を通してアクセス可能な (1) Dailymotion および (2) Skype ビデオギャラリーの Metacafe 動画の Title フィールドを介して、ローカルマシーンゾーンで任意の Web スクリプトまたは HTML を挿入される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Skype Technologies S.A. skype technologies : Skype Cross Zone Scripting Vulnerability マイクロソフト Microsoft : Windows
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトスクリプティング(CWE-79) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2008-0454
参考情報
National Vulnerability Database (NVD) : CVE-2008-0454 US-CERT Vulnerability Note : VU#248184
更新履歴
[2012年09月25日] 掲載


公表日	2008/01/18
登録日	2012/09/25
最終更新日	2012/09/25

Windows 上の Skype の Internet Explorer Web コントロールにおけるクロスゾーンスクリプティングの脆弱性