窓の杜Logo
NEWS (04/09/21 19:35)

IEやMozillaなどに悪意あるCookieでセッションIDが乗っ取られる脆弱性

セカンドレベルドメインが3文字以上の場合に注意が必要

 デンマークのセキュリティベンダー会社Secuniaは18日、「Internet Explorer」v5.01以降、「Mozilla」の全バージョン、「Firefox」v1.00未満に、悪意あるCookieでセッションIDが乗っ取られる脆弱性があると公表した。

 本脆弱性は、WebサイトがセカンドレベルドメインでCookieを作成できることが原因で発生する。だだし、Webサイトのトップレベルドメインが“.com”“.net”“.mil”“.org”“.gov”“.edu”“.nor”“.int”以外であり、かつセカンドレベルドメインが3文字以上である場合のみ。

 脆弱性の回避方法としては、WebブラウザーのCookie機能をOFFにしたり、該当ドメインの信頼できないWebサイトは閲覧しないことなどが挙げられる。


□Secunia - Advisories - Internet Explorer Cross-Domain Cookie Injection Vulnerability
http://secunia.com/advisories/12581/
□Secunia - Advisories - Mozilla / Mozilla Firefox Cross-Domain Cookie Injection Vulnerability
http://secunia.com/advisories/12580/

(中井 浩晶)


お詫びと訂正: 記事掲載時に影響を受けるWebサイトは“セカンドレベルドメインが2文字以上”とお伝えしましたが、“セカンドレベルドメインが3文字以上”の誤りでした。またこれにともない、“.co.jp”や“.ne.jp”で終わるWebサイトは本件とは無関係でした。お詫びして訂正いたします。



トップページへ

Copyright (c) 2004 Impress Corporation All rights reserved.
編集部への連絡は お問い合わせはこちらをクリック まで