« 圧縮技術「LZHAM」リリース! | トップページ | セキュリティ情報:Flash Player更新プログラムが緊急公開 »

2015年2月 6日 (金)

セキュリティ情報:IEゼロデイ脆弱性 〜 UXSS攻撃

IEにゼロデイ脆弱性 - トレンドマイクロは「すぐに攻撃が発生する可能性」
 http://news.mynavi.jp/news/2015/02/06/072/

・・・
今回確認された脆弱性は、ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)という攻撃を可能にするもの。不正に細工したURLにユーザーをアクセスさせることで、正規サイトの改変、認証情報の搾取、不正スクリプトの実行、別の不正サイトへ誘導、といった攻撃ができるという。
具体例としては、「より巧妙なフィッシングサイト」を挙げている。攻撃用のURLにアクセスすると、ネットバンキングなど正規ドメインにアクセスしているように見せかけつつも、攻撃者に対して認証情報などを送信してしまう。通常のフィッシングサイトは「偽ドメイン」上で行われるのに対し、ユニバーサルクロスサイトスクリプティングを悪用した攻撃は「正規ドメイン」上で成立する。
トレンドマイクロによれば、2015年2月4日の時点では、今回のIEゼロデイ脆弱性を用いた攻撃は確認されていないとのこと。ただし攻撃に応用できる「概念実証コード」はすでに出回っており、冒頭のように「いつ攻撃が始まってもおかしくない状況」としている。また、攻撃者は「ユーザーに不正なURLをクリックさせる」必要があるため、不審なメールやWeb上の書き込みにあるURLを安易にクリックしないことが重要と、警戒を呼びかけている。
・・・

とりあえず、IE以外のブラウザを利用の方は、心配する必要は無いかと。



〔関連ページ〕
 ・セキュリティ情報 - WindowsXP windows7 IE8 IE9 対象
 ・マルウェア・ウイルス感染の原因(1):データファイル系

 
 
 
 
 

« 圧縮技術「LZHAM」リリース! | トップページ | セキュリティ情報:Flash Player更新プログラムが緊急公開 »

セキュリティ」カテゴリの記事

IE」カテゴリの記事

トラックバック


この記事へのトラックバック一覧です: セキュリティ情報:IEゼロデイ脆弱性 〜 UXSS攻撃:

« 圧縮技術「LZHAM」リリース! | トップページ | セキュリティ情報:Flash Player更新プログラムが緊急公開 »

2021年5月
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
無料ブログはココログ