« 加藤夏希の綾波レイのコスプレ | メイン | PhotoShopを強化する10個にフリーのプラグイン »


 2006年06月29日

この日のCOTOBACO

CSSクロスドメインの情報漏えいの脆弱性


CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは - @IT

どんな脆弱性かというと、

CSSXSSと呼ばれる脆弱性の問題点は、本来CSSファイルのみに限定されるべきインポートの対象が、HTMLなどの別の形式のファイルでもテキストとして読み込むことができる点にある。もちろん、他ドメインにあるものでもテキストとして読み込めてしまうのだ。
この問題の原因はInternet Explorerがファイルの種類を自動判別する際の判断基準にある。読み込む対象となるテキストに「{」という記号が入っていればCSSファイルだと認識してしまうようだ。また、直接「{」という記号でなくても、文字コードに同様のものを含む「ボ」や「マ」が含まれていても誤認識してしまうことがある。

というわけで、この脆弱性はIEおよびIEコンポーネントを使ったタブブラウザに存在するようです。

CSSだと思ったけど中身が全然違うファイルがブラウザに読み込まれたらどうなるか、っていうとそのファイルがJavaScriptファイルだったらほとんどなんでもできてしまうわけで、非常に怖いです。

このCSSXSSの脆弱性は2006年6月14日に発行された修正パッチを適用することで回避できる。もちろん、Windows Updateを適切に実行していれば自動的に適用されているはずだ。もし、適用していないようならば、すぐにでも実行しておく必要がある。

ということで今すぐWindows Updateで確認を。


 投稿者 nagasawa : 2006年06月29日 16:31

 トラックバック

このエントリーのトラックバックURL:(モダシンへのリンクが記事中にない場合は弾かれます)
1897