MS11-099 Internet Explorer 用の累積的なセキュリティ更新プログラム で修正されたXSSの話 - 葉っぱ日記
マイクロソフト セキュリティ情報 MS11-099 - 重要 : Internet Explorer 用の累積的なセキュリティ更新プログラム (2618444) で修正された「Content-Disposition の情報漏えいの脆弱性 - CVE-2011-3404」について書いておきます。 Content-Disposition: attachment をHTTPレスポンスヘッダに指定すると、一般的なブラウザではコンテンツをブラウザ内でいきなり開くのではなく、ローカルディスクへダウンロードすることになります。ところが、MS11-099にて修正された脆弱性を使用すると、罠ページを経由することで Content-Disposition: attachment のついたhtmlを強制的にInternet Explorer内で開くことができたため、例えば Wiki や Web メールの添付ファ
[openmya:038082] MS07-034: mhtml:プロトコルハン ドラによる任意のスクリプトの実 行 - 葉っぱ日記
MS07-034で修正された CVE-2007-2225 および CVE-2007-2227 の詳細をまとめました。 「脆弱性の詳細」の「CVE-2007-2225に関するよく寄せられる質問」の欄では このセキュリティ情報の公開時に、この脆弱性は一般に知られていましたか? いいえ。マイクロソフトは信頼のおける情報元からこの脆弱性に関する情報を受けました。マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般に知られていたという情報は受けていませんでした。 とありますが、上記アドバイザリにも書いたように、2005年2月には、[Full-Disclosure] Possible XSS issue on Windows XPSP2 IE6 via MIME Encapsulation of Aggregate HTML というメールが Full-Disclosure に
![[openmya:038082] MS07-034: mhtml:プロトコルハン ドラによる任意のスクリプトの実 行 - 葉っぱ日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/dc9f3334ee862e0d8b58a87a67fb6a91d05683a9/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F13208692334729887943%2F17680117126985330771%2F1551408515)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
