公開日:2005/09/29 最終更新日:2015/10/21

JVN#31226748
複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性

概要

複数のウェブブラウザにおいて、XmlHttpRequest オブジェクトの処理に脆弱性が存在します。JavaScript で使用できる XmlHttpRequest オブジェクトは、ウェブページの再読込無しに、サーバと通信を行うための機能を提供します。

通常、JavaScript ではウェブページと同一のドメイン内への通信しか行なえませんが、本脆弱性を悪用することにより、この制限を回避されてしまう可能性があります。

影響を受けるシステム

  • ベンダーの提供する情報をご確認ください

詳細情報

想定される影響


認証情報や Cookie 情報が漏洩する可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
Lunascape 該当製品あり 2005/09/29
アライドテレシス株式会社 該当製品無し 2005/09/29
オレンジソフト 該当製品無し 2005/09/29
サイボウズ 該当製品無し 2005/09/29
ジャストシステム 該当製品無し 2005/09/29
センチュリー・システムズ 該当製品無し 2005/09/29
ソースネクスト 該当製品無し 2005/09/29
ビー・ユー・ジー 該当製品無し 2005/10/05
マイクロソフト株式会社 該当製品あり 2011/05/09
リコー 該当製品無し 2005/10/06
富士通株式会社 該当製品無し 2015/10/13
日本電気 該当製品無し 2005/09/29
日立 該当製品無し 2005/09/29

参考情報

  1. IPA
    複数のウェブブラウザにおいてリクエスト分割が可能な脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 産業技術総合研究所 情報セキュリティ研究センター 大岩 寛 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2005/09/29
ジャストシステムの JVN#31226748への対応が更新されました。
2005/09/29
Lunascapeの JVN#31226748への対応が更新されました。
2005/09/29
サイボウズの JVN#31226748への対応が更新されました。
2005/09/29
ビー・ユー・ジーの JVN#31226748への対応が更新されました。
2005/09/29
日立の JVN#31226748への対応が更新されました。
2005/09/29
オレンジソフトの JVN#31226748への対応が更新されました。
2005/09/29
ジャストシステムの JVN#31226748への対応が更新されました。
2005/09/29
日本電気の JVN#31226748への対応が更新されました。
2005/09/29
ソースネクストの JVN#31226748への対応が更新されました。
2005/09/29
ソースネクストの JVN#31226748への対応が更新されました。
2005/09/29
アライドテレシス株式会社の JVN#31226748への対応が更新されました。
2005/09/29
センチュリー・システムズの JVN#31226748への対応が更新されました。
2005/09/29
富士通の JVN#31226748への対応が更新されました。
2005/09/29
マイクロソフトの JVN#31226748への対応が更新されました。
2005/09/29
日本電気の JVN#31226748への対応が更新されました。
2005/09/29
Lunascapeの JVN#31226748への対応が更新されました。
2005/09/30
ベンダ情報:Opera Software の情報を追加しました。
2005/09/30
ベンダ情報:Mozilla の情報を追加しました。
2005/10/04
ベンダ情報:富士通の情報を更新しました。
2005/10/04
富士通の JVN#31226748への対応が更新されました。
2005/10/05
参考情報:IPA の情報を追加しました。
2005/10/05
ベンダ情報:ビー・ユー・ジーの情報を更新しました。
2005/10/05
ビー・ユー・ジーの JVN#31226748への対応が更新されました。
2005/10/06
リコーの JVN#31226748への対応が更新されました。
2005/10/07
ベンダ情報:リコーの情報を追加しました。
2005/11/10
ベンダ情報:富士通の情報を更新しました。
2005/11/10
富士通の JVN#31226748への対応が更新されました。
2011/05/09
日本マイクロソフト株式会社のベンダステータスが更新されました
2011/05/09
日本マイクロソフト株式会社のベンダステータスが更新されました
2015/10/21
富士通株式会社のベンダステータスが更新されました