IEのセキュリティ対策機能に問題、Microsoftが追加対処へ
セキュリティカンファレンスでIE 8のXSSフィルターの脆弱性を突いた新たな攻撃方法が報告された。
マイクロソフトは、6月の更新プログラムでInternet Explorer 8のクロスサイトスクリプティング(XSS)フィルターに存在する脆弱性に対処すると発表しました。
どうやらこの脆弱性については、1月の修正パッチで対処されていたらしいのですが、新たに脆弱性が発見されたため、追加で脆弱性を修正した修正パッチを公開することになったようです。
IE 8のXSSフィルターは、Web上の悪質コードを検出してユーザーを保護する。同社セキュリティ対策センターのブログによると、欧州で開かれたセキュリティカンファレンスのBlackhatで、このフィルターの脆弱性を突いた新たな攻撃方法が報告されたという。
https://www.itmedia.co.jp/enterprise/articles/1004/21/news023.html
XSSフィルターの脆弱性情報は1月に公開され、Microsoftが同月のIEの更新プログラム(MS10-002)と3月の更新プログラム(MS10-018)で対処していた。しかし、今回のBlackhatで新たに「SCRIPTタグ攻撃」のシナリオが公表されたため、6月に追加の更新プログラムをリリースすることにしたという。