0446名無し~3.EXE
2019/04/03(水) 21:39:34.23ID:rkNmAz03https://internet.watch.impress.co.jp/docs/news/1178149.html
ウェブブラウザーのMicrosoft EdgeおよびInternet Explorer(IE)に、セッション情報が露出する
「同一生成元ポリシー違反」(CWE-346)の脆弱性があるとして、
トレンドマイクロ株式会社が同社セキュリティブログで解説している。
URLには、平文またはハッシュ値の形でCookie、セッションID、ユーザー名、パスワード、
認証トークンなどの情報が含まれる可能性がある。
攻撃者はこの脆弱性を利用することで、例えば、ユーザーの銀行アカウントを侵害し、
個人情報にアクセスしたり決済処理を認証することも可能になるという。
トレンドマイクロでは、この脆弱性に対処する修正プログラムが公開されるまで、
Microsoft EdgeとIEの使用を控えることを推奨している
