XSS の傾向と Internet Explorer
2005 年までさかのぼると、クロスサイト スクリプト (XSS) は最も多く報告されている (英語) 種類のソフトウェア脆弱性として認識されていました。Web ハッキング インシデント データベース (英語) のデータを使った Veracode による最近の研究 (英語) は、XSS が Web アプリケーションに最も多く見られ、実世界の攻撃に利用される (英語) 可能性が 2 番目に高い脆弱性であることを示しています。
Veracode 提供のグラフ。許可を得て使用しています
Microsoft Security Response Center (MSRC) によるデータは、XSS の脆弱性の報告数が増えていることを示しています。
XSS の脆弱性の報告数の増加 (2004 年~ 2012 年前半)
上のグラフは、前年比をパーセントで表した場合に、XSS の報告数が他の種類の脆弱性を実際に上回り始めたことに関する Microsoft の観察を示しています。
ユーザーを保護するため、Internet Explorer には、 httpOnly (英語) Cookie、 security=restricted IFRAMES (英語)、 toStaticHTML() (英語)、IE XSS フィルター (英語) など、XSS を対象とする何重にもわたる複数の軽減対策が先駆けて実装されました。IE10 では、新しい HTML5 標準 (英語) IFRAME サンドボックス (英語) のサポートが導入され、Web アプリケーションの開発者が埋め込みコンテンツの動作をより厳密に制御できるようになりました。実世界のデータは、存在する XSS の脆弱性の相対量が増えていることを示し続けているため、私たちはこれらの投資に引き続き力を注いでいきたいと思っています。
IE XSS フィルターの効果を確認するため、私たちは 2012 年の前半に MSRC に報告されたすべての脆弱性を詳しく分析しました。この分析によると、現在のところ IE XSS フィルターは MSRC に報告された合法的な脆弱性全体の 37% に適用されています (見方によっては、報告数の多いもう 1 つの脆弱性クラスはメモリ安全性であり、同じデータ セット内の脆弱性の 24% を占めています)。
IE XSS フィルターは、 ASLR や DEP/NX などのメモリ安全性の軽減対策によってブラウザーの脅威軽減戦略が終わることはないことを示す 1 つの例にすぎません。多くのユーザーと企業が Web テクノロジを活用するにつれて、XSS や他の Web アプリケーションの脆弱性の軽減対策がますます重要になってきました。私たちは、軽減対策が XSS の脅威に対して発揮した効果を確認できて嬉しく思っており、これからもこの分野の前進のために革新を続けていきたいと思っています。
—Microsoft Security Response Center 主任セキュリティ ソフトウェア エンジニア、David Ross
Comments
Anonymous
September 14, 2012
The comment has been removedAnonymous
September 15, 2012
The comment has been removedAnonymous
September 15, 2012
次のIE10は、Chrome並みの速さにして下さい。 特にこれから発表するであろうWindows 7向けで実現願います。 軽さは今くらいかもう少し軽くして欲しいです。 良いブラウザに鳴ることをきたいしてやみません。 HTML5やCSS3も大幅供されていることでしょう。Anonymous
September 15, 2012
ずっと気になってるんだけどWindows 7向けIE10はいつ出すんだい? Twitter見てたら「頑張って開発している」とあったが予定を早く述べよ。 遅くても今年中、早ければWindows 8(私自身はスルー予定)発売日にリリースしてくれればいいけど。Anonymous
September 15, 2012
16時28分 名無しさんへ 英語版のコメントでみてきましたが、来年の2月あたりのようです。 まだまだ先ですね。 もちろん信じていい情報とは限りません。 暫く待つしか無いでしょう。 リリースしてもサイトが対応してなければダメですし・・・。Anonymous
September 16, 2012
The comment has been removedAnonymous
September 17, 2012
IEの7~9に新たな脆弱性が見つかったそうです。 しばらくは別のブラウザを使えとのことですが 早くパッチをリリースして下さい。 そしてパッチ当てが少しでも減るような製品を作るべきでしょう。 アメリカのセキュリティ企業が発見しました。 headlines.yahoo.co.jp/hlAnonymous
September 17, 2012
お~い、マイク◯よ! まともなコード1つ書けんのんか? ヤグラさんが書いてるが、安全でバグをせめて8割以上はなくせよ。 本当何処かの国とそっくりだね。 中国製のPCのwindowsにマルウェアが標準インストールとか。 きちんと責任を果たせ! IEなんてWindowsに最初から入ってるし、多くの人が使ってる。 きちんとした製品を最初から作り直せ!!Anonymous
September 17, 2012
The comment has been removedAnonymous
September 17, 2012
The comment has been removedAnonymous
September 18, 2012
どうやらIE10の7向けは開発中なのだそうですね。 どんな製品になっているかいろんな意味で楽しみになります。 遅くても今年中を目指して下さい! 待っている人は少なくありませんよ。 Windows 8は・・・ちょっと遠慮しておくことでしょう。 次の9まで7で頑張ると思います。 (出来ればVistaもSP2のみサポートしてくれると幸いです。)Anonymous
September 19, 2012
どうせ後になって、「IE10も同じ脆弱性」とか言い出すんでしょ。 もうぶっちゃけ、独自路線で対応遅いIEの開発は10で撤退したらどうですか? もちろん、作ったからにはきちんとサポートはして下さい。 Win7向けのIE10は開発が終わったらすぐリリースしてほしいですが。Anonymous
September 19, 2012
どうやら米国時間21日に緊急パッチだって。 日本時間は22日の土曜日。 つまりあさってになりそう。 それまではニュースサイトやMSアドバイザリなどにある応急処置をしておく。 または誰かのセキュリティ研究者が言ってる、IE以外のブラウザを使う。 また変なサイトは開かないように気をつけろよ。Anonymous
September 20, 2012
The comment has been removedAnonymous
September 21, 2012
The comment has been removedAnonymous
September 21, 2012
↑の方が書いてるアップデートの件。 英語版はすでに記事にしているようですね。 多言語版ブログでも土日明けに書くようして下さい。Anonymous
September 21, 2012
The comment has been removed