CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
CSSXSSっていうのは初めて聴きました。ポイント抜粋してみます。
本来CSSファイルのみに限定されるべきインポートの対象が、HTMLなどの別の形式のファイルでもテキストとして読み込むことができる点にある。もちろん、他ドメインにあるものでもテキストとして読み込めてしまうのだ。
この脆弱性は主にWindows XP(32bit版)上のIEと、それをエンジンに利用しているWebブラウザが対象となる。
WebブラウザがCSSファイルのつもりでHTMLなどの異なるファイルをテキストとして読み込むところ(図中の2の部分)で発生する。
このCSSXSSの脆弱性は2006年6月14日に発行された修正パッチを適用することで回避できる。もちろん、Windows Updateを適切に実行していれば自動的に適用されているはずだ。もし、適用していないようならば、すぐにでも実行しておく必要がある。
この記事は必見といっても良いくらい重要な情報が書かれていると思います。実際に絵を使って解りやすく解説もされているので、まだCSSXSSについて知らない方はどんな現象か確認をして、修正パッチを当てましょう。
