アーカイブ
Internet Explorer におけるクロスサイトスクリプティングの脆弱性
2011年6月16日 | 注意喚起
LAC Advisory No.104
Problem first discovered on: Thu, 15 Dec 2005
Published on: Thu, 16 Jun 2011
脅威度
低
概要
Microsoft Internet Explorer の FTPブラウズ機能には、クロスサイトスクリプティングの脆弱性が存在します。
詳細
Microsoft Internet Explorer の FTPブラウズ機能には、ファイル名に含まれる「"」を適切にエスケープせずにファイル一覧を生成する問題があります。
このため、「FTPサイト用のフォルダビューを使用する」を無効にしているユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。
なお、この「FTPサイト用のフォルダビューを使用する」は、デフォルトでは有効となっています。
影響を受ける バージョン
Microsoft Internet Explorer 6 およびそれ以前
※Internet Explorer 7 初期出荷版で対応がおこなわれました。
Internet Explorer 8 および Internet Explorer 9 では発生しません。
対策
Internet Explorer 7 以降へアップデートしてください。
発見者
山崎 圭吾(ラック)
謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い、2005年12月に届出をおこなったものです。
http://jvn.jp/jp/JVN26408023/index.html
http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000038.html