JSONをvbscriptとして読み込ませるJSONハイジャックに注意

あるAnonymous Coward 曰く、　セキュリティ関連のエンジニア・コンサルタントである徳丸浩氏が、「JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意」として注意を呼びかけている。

　JSONの読み出しに使われるXMLHttpRequestでは呼び出し元と同じホスト名およびポート番号、スキームのリソースしか読み出せないというポリシーがあり、データを想定外のドメインからは読み出せないようになっている。ところが、IEではJSON形式のデータをvbscriptとしてロードさせることで、通常は読み出せないJSON情報に不正にアクセスできてしまう。これにより、不正サイトにIEでアクセスさせることで、非公開の情報を取得することが可能になってしまう。

　この挙動はIEのバグで、IE6～8については5月15日に公開された「マイクロソフト セキュリティ情報 MS13-037 — 緊急 : Internet Explorer 用の累積的なセキュリティ更新プログラム (2829530)」で修正されている。ただし、IE9以降では修正されず、またこの更新プログラムを適用していないIEがしばらく存在する可能性も高い。

　対策方法も上記の記事に記載されているので、JSONを使って非公開の情報をやり取りするようなWebアプリケーションを扱っている開発者は問題がないか確認しておくと良いだろう。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | バグ | インターネット

　関連ストーリー：
Fortify、Ajaxのセキュリティ問題に警鐘 2007年04月04日
niftyに偽装した悪意のあるサイトが登場 2007年01月03日
Netscape/Mozillaにローカルファイル読みとりの脆弱性 2002年05月01日