Microsoft EdgeとIEにゼロデイ脆弱性、セッション情報の露出で個人情報など取得される恐れ : 汎用型自作PCまとめ

1: 靄々 ★ 2019/04/05(金) 06:23:12.48 ID:LvKJNFsk9

　ウェブブラウザーのMicrosoft EdgeおよびInternet Explorer（IE）に、セッション情報が露出する「同一生成元ポリシー違反」（CWE-346）の脆弱性があるとして、トレンドマイクロ株式会社が同社セキュリティブログで解説している。

　同一生成元ポリシーが機能している場合は、不正なウェブサイトに埋め込まれたJavaScriptがクライアントのキャッシュに保存されたセッション情報にアクセスすることはできないが、この脆弱性が悪用された場合は同一生成元ポリシーの回避に成功し、本来アクセスが制限されているリソースにアクセスできるようになる。

（中略）

　トレンドマイクロでは、この脆弱性に対処する修正プログラムが公開されるまで、Microsoft EdgeとIEの使用を控えることを推奨している。

（続きはこちら）
https://internet.watch.impress.co.jp/docs/news/1178149.html

3: 名無しさん＠１周年 2019/04/05(金) 06:25:40.59 ID:iQovRVA50

使ってる奴いんの？

6: 名無しさん＠１周年 2019/04/05(金) 06:34:34.91 ID:SjLD7aD70

よかった！使ってねえわ！

7: 名無しさん＠１周年 2019/04/05(金) 06:36:05.41 ID:80gnPT1o0

Huaweiを攻撃してる場合じゃねーなｗ

14: 名無しさん＠１周年 2019/04/05(金) 06:50:05.20 ID:+uR2DSoa0

ネットバンク使うとやばいの？

10: 名無しさん＠１周年 2019/04/05(金) 06:37:59.76 ID:aqZMvChc0

やばっ

Chromeに乗り換える

47: 名無しさん＠１周年 2019/04/05(金) 10:25:45.59 ID:bWWLHPXO0

ブラウザーなんかwindows標準のedgeで充分じゃん
わざわざChrome入れてる奴って暇なの？
たかがブラウザーだよ？

9: 名無しさん＠１周年 2019/04/05(金) 06:37:19.96 ID:aDOWHniT0

IEかEdgeが存在しているだけで使っていなくても攻撃できる脆弱性？

22: 名無しさん＠１周年 2019/04/05(金) 07:19:57.55 ID:Z3pMtud40

>>9
そういうことではないだろ。
ブラウザが持つセッションデータとは、例えばGoogle+やツイ、あま、DMMへログインした段階で生成、保持される。
そのログイン状態を維持したまま、違うGoogleなんかにアクセスすると、Googleがセッション情報を盗み見てセッションハイジャックなんかをできるようになる。
そういう脆弱性だろ。

つまり基本は、ログアウトをキッチリやれつう話

15: 名無しさん＠１周年 2019/04/05(金) 06:51:08.12 ID:OP35TRau0

使わないからどうでもいいよ

23: 名無しさん＠１周年 2019/04/05(金) 07:20:45.94 ID:2qbGSmB70

Firefoxの優秀さがまた証明されたわけだが

36: 名無しさん＠１周年 2019/04/05(金) 08:50:28.17 ID:+cPbznXO0

マイクロソフト系のブラウザなんて1995年以来使ったことがねえや。まあ1995年にはまだなかったけど。
モザイク、ネスケ、firefox、これが正当ネットサーファーの系譜。

18: 名無しさん＠１周年 2019/04/05(金) 06:58:13.39 ID:xnKPeqcs0

エッジなんて表示すらまともに出来ないのに使うわけない

4: 名無しさん＠１周年 2019/04/05(金) 06:31:17.53 ID:RyCx939G0

割と普通のサイトも表示できないEdge
Chromeに最適化されたところだと確実に何かしらトラブるEdge
IE前提のサイトではそもそも使い物にならないEdge

50: 名無しさん＠１周年 2019/04/05(金) 13:59:55.05 ID:fdcEC5ip0

勝手に変な新機能付けて自爆するのやめて