IEに未修正の同一生成元ポリシーの制約を迂回する脆弱性--トレンドマイクロ

トレンドマイクロは2月5日、Internet Explore(IE)に未修正の同一生成元ポリシーの制約を迂回する脆弱性を確認し、その内容を公開した。この脆弱性を利用すると、「ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)」と呼ばれる攻撃が可能になる。

一般に「クロスサイトスクリプティング(XSS)」と呼ばれる攻撃は、脆弱なWebアプリケーションが設置されているドメイン上で起こるものだが、Universal XSS(UXSS)と呼ばれる攻撃は、任意のドメイン上での任意のスクリプト実行が可能となる。攻撃者は不正に細工したURLをネット利用者に踏ませ、他の不正サイトへ誘導することができる。

攻撃の例として、より巧妙なフィッシングサイトの構築が考えられ、ユーザは、悪意あるリンクをクリックしたとき、正規のオンラインバンキングサイトのドメインにリダイレクトした上で、攻撃者が用意したフィッシング用の画面を見せられ、正規ドメインにアクセスしているように見えながらも攻撃者に認証情報を送信してしまう。

フィッシングは通常は偽ドメイン上で行われるのに対し、今回のようにUXSSが可能な状況では正規ドメイン上で行われることになる。UXSSを利用したフィッシングは、より巧妙かつ悪質としている。