パスワードを忘れた? アカウント作成
8912747 story
インターネット

JSONをvbscriptとして読み込ませるJSONハイジャックに注意 12

ストーリー by hylom
回避方法もありますので元記事をご確認あれ 部門より
あるAnonymous Coward 曰く、

セキュリティ関連のエンジニア・コンサルタントである徳丸浩氏が、「JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意」として注意を呼びかけている。

JSONの読み出しに使われるXMLHttpRequestでは呼び出し元と同じホスト名およびポート番号、スキームのリソースしか読み出せないというポリシーがあり、データを想定外のドメインからは読み出せないようになっている。ところが、IEではJSON形式のデータをvbscriptとしてロードさせることで、通常は読み出せないJSON情報に不正にアクセスできてしまう。これにより、不正サイトにIEでアクセスさせることで、非公開の情報を取得することが可能になってしまう。

この挙動はIEのバグで、IE6~8については5月15日に公開された「マイクロソフト セキュリティ情報 MS13-037 — 緊急 : Internet Explorer 用の累積的なセキュリティ更新プログラム (2829530)」で修正されている。ただし、IE9以降では修正されず、またこの更新プログラムを適用していないIEがしばらく存在する可能性も高い。

対策方法も上記の記事に記載されているので、JSONを使って非公開の情報をやり取りするようなWebアプリケーションを扱っている開発者は問題がないか確認しておくと良いだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...