デンマークのセキュリティベンダー会社Secuniaは18日、「Internet Explorer」v5.01以降、「Mozilla」の全バージョン、「Firefox」v1.00未満に、悪意あるCookieでセッションIDが乗っ取られる脆弱性があると公表した。

　本脆弱性は、WebサイトがセカンドレベルドメインでCookieを作成できることが原因で発生する。だだし、Webサイトのトップレベルドメインが“.com”“.net”“.mil”“.org”“.gov”“.edu”“.nor”“.int”以外であり、かつセカンドレベルドメインが3文字以上である場合のみ。

　脆弱性の回避方法としては、WebブラウザーのCookie機能をOFFにしたり、該当ドメインの信頼できないWebサイトは閲覧しないことなどが挙げられる。

□Secunia - Advisories - Internet Explorer Cross-Domain Cookie Injection Vulnerability
http://secunia.com/advisories/12581/
□Secunia - Advisories - Mozilla / Mozilla Firefox Cross-Domain Cookie Injection Vulnerability
http://secunia.com/advisories/12580/

（中井 浩晶）