LAC WATCH

セキュリティとITの最新情報

RSS

注意喚起 | 

Internet Explorer におけるクロスサイトスクリプティングの脆弱性

LAC Advisory No.104

Problem first discovered on: Thu, 15 Dec 2005
Published on: Thu, 16 Jun 2011

脅威度

概要

Microsoft Internet Explorer の FTPブラウズ機能には、クロスサイトスクリプティングの脆弱性が存在します。

詳細

Microsoft Internet Explorer の FTPブラウズ機能には、ファイル名に含まれる「"」を適切にエスケープせずにファイル一覧を生成する問題があります。
このため、「FTPサイト用のフォルダビューを使用する」を無効にしているユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。
なお、この「FTPサイト用のフォルダビューを使用する」は、デフォルトでは有効となっています。

スクリーンショット

影響を受ける バージョン

Microsoft Internet Explorer 6 およびそれ以前

※Internet Explorer 7 初期出荷版で対応がおこなわれました。
Internet Explorer 8 および Internet Explorer 9 では発生しません。

対策

Internet Explorer 7 以降へアップデートしてください。

発見者

山崎 圭吾(ラック)


謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い、2005年12月に届出をおこなったものです。

http://jvn.jp/jp/JVN26408023/index.html

http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000038.html

この記事は役に立ちましたか?

はい いいえ