ニュース
IE 11に新たな脆弱性、ユニバーサルXSS攻撃の被害に遭う可能性
(2015/2/6 15:28)
Internet Explorer(IE)に新たな脆弱性が確認されたとして、セキュリティベンダー各社が注意を促している。脆弱性は、Windows 8.1/7環境のIE 11に影響があることが確認されている。
確認された脆弱性は、ユニバーサルクロスサイトスクリプティング(UXSS)と呼ばれる攻撃を受ける可能性があるもの。攻撃者はこの脆弱性を悪用することで、任意のドメイン上で任意のスクリプト実行が可能となる。不正に細工したURLにアクセスさせることで、正規サイトの認証情報の窃取や、正規サイトの表示の改変、不正なスクリプトの実行、他のサイトへの誘導などを行うことができる。
攻撃例としては、より巧妙なフィッシングサイトの構築に用いられることなどが考えられる。フィッシングサイトは通常は偽ドメイン上で行われるが、UXSSが利用可能な状況では正規ドメイン上で行われることになる。
トレンドマイクロでは、現時点で脆弱性の悪用は確認されていないが、攻撃に悪用可能なPoC(概念実証)コードは既に確認されており、いつ攻撃が始まってもおかしくない状況だと説明。シマンテックも同様に、現時点では悪用の兆候はないとした上で、マイクロソフトが修正パッチを公開するまでは、FirefoxやGoogle Chromeなど他のブラウザーを利用することを推奨している。