製品・ソフトウェアに関する情報
Vulnerability Search
Windows 上の Skype の Internet Explorer Web コントロールにおけるクロスゾーンスクリプティングの脆弱性
Title Windows 上の Skype の Internet Explorer Web コントロールにおけるクロスゾーンスクリプティングの脆弱性
Summary

Windows 上で稼動する Skype の Internet Explorer Web コントロールには、クロスゾーンスクリプティングの脆弱性が存在します。

Possible impacts 攻撃者により、"Add video to chat" ダイアログ内の検索を通してアクセス可能な (1) Dailymotion および (2) Skype ビデオギャラリーの Metacafe 動画の Title フィールドを介して、ローカルマシーンゾーンで任意の Web スクリプトまたは HTML を挿入される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Jan. 18, 2008, midnight
Registration Date Sept. 25, 2012, 4:59 p.m.
Last Update Sept. 25, 2012, 4:59 p.m.
CVSS2.0 : 危険
Score 9.3
Vector AV:N/AC:M/Au:N/C:C/I:C/A:C
Affected System
マイクロソフト
Microsoft Internet Explorer 
Skype Technologies S.A.
Skype 3.6.0.244 およびそれ以前、3.5.x、および 3.6.x
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2008-0454
Summary

Cross-zone scripting vulnerability in the Internet Explorer web control in Skype 3.6.0.244, and earlier 3.5.x and 3.6.x versions, on Windows allows user-assisted remote attackers to inject arbitrary web script or HTML in the Local Machine Zone via the Title field of a (1) Dailymotion and possibly (2) Metacafe movie in the Skype video gallery, accessible through a search within the "Add video to chat" dialog, aka "videomood XSS."

Publication Date Jan. 25, 2008, 10 a.m.
Registration Date Jan. 29, 2021, 1:30 p.m.
Last Update July 24, 2021, 12:12 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:microsoft:internet_explorer:*:*:*:*:*:*:*:*
cpe:2.3:a:skype_technologies:skype:3.5:*:*:*:*:*:*:*
cpe:2.3:a:skype_technologies:skype:3.6:*:*:*:*:*:*:*
cpe:2.3:a:skype_technologies:skype:*:*:*:*:*:*:*:* 3.6.0.244
Related information, measures and tools
Common Vulnerabilities List