IEのセキュリティ対策機能に問題、Microsoftが追加対処へ - ITmedia エンタープライズ(情報元のブックマーク数)

まぁ、XSSフィルタ自体が全部止めよう!ってのじゃないと思うから、抜けてもそんなもんなんだけど。。。。

ちゃんと対応しようとするあたり素晴らしい。

Microsoftは、6月の更新プログラムでInternet ExplorerIE) 8のクロスサイトスクリプティングXSS)フィルターに存在する脆弱性に対処すると発表した。
IE 8のXSSフィルターは、Web上の悪質コードを検出してユーザーを保護する。同社セキュリティ対策センターのブログによると、欧州で開かれたセキュリティカンファレンスのBlackhatで、このフィルターの脆弱性を突いた新たな攻撃方法が報告されたという。
XSSフィルターの脆弱性情報は1月に公開され、Microsoftが同月のIEの更新プログラム(MS10-002)と3月の更新プログラム(MS10-018)で対処していた。しかし、今回のBlackhatで新たに「SCRIPTタグ攻撃」のシナリオが公表されたため、6月に追加の更新プログラムをリリースすることにしたという。

IEのセキュリティ対策機能に問題、Microsoftが追加対処へ - ITmedia エンタープライズ

メモメモ。

White Paper: Abusing_IE8s_XSS_Filters.pdf
Slides: IE8 Filters.ppt

http://p42.us/ie8xss/

2010年06月のパッチで修正するそうです。

Microsoftは米国時間4月19日、「Internet ExplorerIE)8」に組み込まれたフィルタの脆弱性を6月に修正すると発表した。このフィルタはクロスサイトスクリプティングXSS)攻撃を防止するために設けられたものだが、実際には、まさにこのXXS攻撃をウェブサイト上で仕掛ける際に悪用されかねない脆弱性を抱えていたという。

マイクロソフト、「IE 8」のXSSフィルタに関する脆弱性を再び修正へ - CNET Japan

screenshot