新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > スレッド内全記事表示 (記事 3484 からのスレッド)

スレッド内全記事表示 (記事 3484 からのスレッド)

これは「水無月ばけらのえび日記 : CSSXSS対策された模様」に関連するコメントです。

[3484] Re: 「CSSXSS対策された模様」

スターダスト (2006年4月14日 15時54分)

4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。

CVE-2005-4089( AKA CSSXSS )対策がMS06-013に含まれているとはMicrosoft社は公式発表していません。まだふさがっていないのだという認識のほうが安全かもと私も注意を受けたのですが、確認したところ確かにまだちょっとした工夫でCSSXSSな穴をくぐれます。

自衛しながら辛抱強く待つ必要がありますね。

関連:(たいしたことは書いてありませんが)

http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

[3486] Re: 「CSSXSS対策された模様」

ばけら (2006年4月14日 16時33分)

>4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。

(snip)

>http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

 ご指摘ありがとうございます。

 行き違いっぽいですが、既に追記してあります。

[3488] Re: 「CSSXSS対策された模様」

スターダスト (2006年4月14日 18時25分)

> 行き違いっぽいですが、既に追記してあります。

タッチの差だったようですね。そうとはしらず…追記をありがとうございました。

[3496] Re: 「CSSXSS対策された模様」

スターダスト (2006年4月17日 19時24分)

用語「CSSXSS」のページで、20060412のパッチにてCSSXSS穴がふさがれていると書いてありました…

[3497] Re: 「CSSXSS対策された模様」

ばけら (2006年4月17日 20時29分)

>用語「CSSXSS」のページで、20060412のパッチにてCSSXSS穴がふさがれていると書いてありました…

 ああ……用語追加したことすら忘れていました。

 追記部分消しておきました。

[3508] Re: 「CSSXSS対策された模様」

スターダスト (2006年4月19日 23時37分)

> 追記部分消しておきました。

ありがとうございました m(_?_)m

[3731] Re: 「CSSXSS対策された模様」

スターダスト (2006年6月27日 13時41分)

2006年6月度のSecurityUpdate、(MS06-021)の適用によりFIXされたとのMicrosoftの公式の説明があります。

http://www.microsoft.com/japan/technet/security/bulletin/ms06-021.mspx

いわゆるCSSXSS脆弱性が仕込んである罠ページをうっかり信頼済みサイトゾーンに設定すると発動します。また、そのような罠ページをローカルに落とした場合に、とある仕込が追加されていれば、信頼済みサイトゾーン権限で開いてしまいます。 罠は通常不可視ですから、予期しないアウトバウンドデータを発見できるようなファイアウォールの併用が良いかもしれません。

いやぁ長かったですね、対策まで。 まだ、mhtmlリダイレクトの方法が残っていますから先は長いです。

最近の日記

関わった本など