Internet Explorer 8のクロスサイトスクリプティング(XSS)に関するセキュリティの問題を明らかにしたBlack Hat EUのプレゼンテーションを受けて、Microsoftはこの(願わくば最後の)攻撃シナリオを防止するため、フィルタに対するパッチを公開する予定だ。
カンファレンスで行われたプレゼンテーションでは、2人の研究者が、同ブラウザに組み込まれているXSSフィルタを悪用することによって、ウェブサイトやウェブページ上で、このフィルタの問題がなければ生じ得ないクロスサイトスクリプティング攻撃を行うことができると警告した。
この2人の研究者は、この問題がいくつかの有名なサイトにセキュリティ上の問題を引き起こすことを示すデモを公開した。これらのサイトには、Microsoft自身のBing.com、Google.com、Wikipedia.org、Twitter.comが含まれている。
Microsoftは最近、2つの異なるアップデート(MS10-002およびMS10-018)を公開している。これらのアップデートでは多層防御に変更を加え、このカンファレンスで議論された問題の大半に対応しているが、別の攻撃シナリオに対応するためのパッチが、2010年6月に予定されている。
Microsoft Security Response CenterのDavid Ross氏は次のように説明している。
現在、IEのXSS Filterに対する追加的なアップデートを6月に公開する予定となっている。この変更では、Blackhat EUのプレゼンテーションで説明されたSCRIPTタグ攻撃のシナリオに対応する。この問題は、悪質なスクリプトが、既存のスクリプトブロックの中にあるコンストラクトから「抜け出る」ことが可能な場合に現れる。このMS10-002に存在することが判明した問題は、著名なウェブサイト上に存在することが分かったが、これまでのところ、実際にSCRIPTタグが使われている例では、この攻撃シナリオが実現する可能性は低い。
小さな問題があることは認めているものの、Ross氏は多くの攻撃に対して保護を提供できる利点は、多くの場合脆弱性に対する潜在的なリスクよりも優先されるため、ブラウザでXSS Filterを使うことは重要だと主張している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
