IEのセキュリティ対策機能に問題、Microsoftが追加対処へ - ITmedia エンタープライズ(情報元のブックマーク数)
まぁ、XSSフィルタ自体が全部止めよう!ってのじゃないと思うから、抜けてもそんなもんなんだけど。。。。
ちゃんと対応しようとするあたり素晴らしい。
米Microsoftは、6月の更新プログラムでInternet Explorer(IE) 8のクロスサイトスクリプティング(XSS)フィルターに存在する脆弱性に対処すると発表した。
IEのセキュリティ対策機能に問題、Microsoftが追加対処へ - ITmedia エンタープライズ
IE 8のXSSフィルターは、Web上の悪質コードを検出してユーザーを保護する。同社セキュリティ対策センターのブログによると、欧州で開かれたセキュリティカンファレンスのBlackhatで、このフィルターの脆弱性を突いた新たな攻撃方法が報告されたという。
XSSフィルターの脆弱性情報は1月に公開され、Microsoftが同月のIEの更新プログラム(MS10-002)と3月の更新プログラム(MS10-018)で対処していた。しかし、今回のBlackhatで新たに「SCRIPTタグ攻撃」のシナリオが公表されたため、6月に追加の更新プログラムをリリースすることにしたという。
メモメモ。
White Paper: Abusing_IE8s_XSS_Filters.pdf
http://p42.us/ie8xss/
Slides: IE8 Filters.ppt
2010年06月のパッチで修正するそうです。
Microsoftは米国時間4月19日、「Internet Explorer(IE)8」に組み込まれたフィルタの脆弱性を6月に修正すると発表した。このフィルタはクロスサイトスクリプティング(XSS)攻撃を防止するために設けられたものだが、実際には、まさにこのXXS攻撃をウェブサイト上で仕掛ける際に悪用されかねない脆弱性を抱えていたという。
マイクロソフト、「IE 8」のXSSフィルタに関する脆弱性を再び修正へ - CNET Japan