Secuniaの公表ページ

　デンマークのセキュリティベンダー会社Secuniaは16日、「Internet Explorer」v6（以下、IE6）に、“クロスサイト・スクリプティング”攻撃を受けてしまう脆弱性が存在することを公表した。同社は、Windows XP SP1/2のIE6でこの脆弱性を確認したとのこと。

　本脆弱性は、ダイナミックHTML編集コントロール“DHTML.ocx”が“execScript”メソッドを正しく処理できないことに起因し、悪意のあるユーザーが作成した任意のコードがWebブラウザーを通じて実行され、たとえばアドレスバーの表示が偽装されるなどの攻撃を受ける可能性がある。

　現在、この脆弱性を修正するためのプログラムは提供されていない。同社では対応策として、インターネットオプションにある“インターネット”ゾーンのセキュリティレベルを“高”にし、ActiveXコントロールを無効にすることを挙げている。

□Secunia - Advisories - Internet Explorer DHTML Edit ActiveX Control Cross-Site Scripting
http://secunia.com/advisories/13482/

（石川 敬峰）