「CSSXSS対策された模様」へのコメント
「水無月ばけらのえび日記 : CSSXSS対策された模様」について、10件のコメントが書かれています。
[3484] Re: 「CSSXSS対策された模様」
スターダスト (2006年4月14日 15時54分)
4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。
CVE-2005-4089( AKA CSSXSS )対策がMS06-013に含まれているとはMicrosoft社は公式発表していません。まだふさがっていないのだという認識のほうが安全かもと私も注意を受けたのですが、確認したところ確かにまだちょっとした工夫でCSSXSSな穴をくぐれます。
自衛しながら辛抱強く待つ必要がありますね。
関連:(たいしたことは書いてありませんが)
[3486] Re: 「CSSXSS対策された模様」
ばけら (2006年4月14日 16時33分)
>4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。
(snip)
ご指摘ありがとうございます。
行き違いっぽいですが、既に追記してあります。
[3488] Re: 「CSSXSS対策された模様」
スターダスト (2006年4月14日 18時25分)
> 行き違いっぽいですが、既に追記してあります。
タッチの差だったようですね。そうとはしらず…追記をありがとうございました。
[3496] Re: 「CSSXSS対策された模様」
スターダスト (2006年4月17日 19時24分)
用語「CSSXSS」のページで、20060412のパッチにてCSSXSS穴がふさがれていると書いてありました…
[3497] Re: 「CSSXSS対策された模様」
ばけら (2006年4月17日 20時29分)
>用語「CSSXSS」のページで、20060412のパッチにてCSSXSS穴がふさがれていると書いてありました…
ああ……用語追加したことすら忘れていました。
追記部分消しておきました。
[3731] Re: 「CSSXSS対策された模様」
スターダスト (2006年6月27日 13時41分)
2006年6月度のSecurityUpdate、(MS06-021)の適用によりFIXされたとのMicrosoftの公式の説明があります。
いわゆるCSSXSS脆弱性が仕込んである罠ページをうっかり信頼済みサイトゾーンに設定すると発動します。また、そのような罠ページをローカルに落とした場合に、とある仕込が追加されていれば、信頼済みサイトゾーン権限で開いてしまいます。 罠は通常不可視ですから、予期しないアウトバウンドデータを発見できるようなファイアウォールの併用が良いかもしれません。
いやぁ長かったですね、対策まで。 まだ、mhtmlリダイレクトの方法が残っていますから先は長いです。
[7894] 未承認メッセージ (投稿元:188.143.232.31)
lsrhotuej (2012年11月28日 11時58分)
(この記事は承認されていないため、管理者が許可するまで公開されません。)
[8059] 未承認メッセージ (投稿元:46.21.144.52)
iegkqwisblc (2012年12月30日 9時16分)
(この記事は承認されていないため、管理者が許可するまで公開されません。)
「水無月ばけらのえび日記 : CSSXSS対策された模様」についてコメントを書く場合は、以下のフォームに記入してください。
