| Title | Microsoft Internet Explorer 8 および 9 における重要な情報を取得される脆弱性 |
|---|---|
| Summary | Microsoft Internet Explorer 8 および 9 は、プロキシ設定において HTTP および HTTPS に同じプロキシアドレスとポートの値を持つ場合、プロキシサーバへの TCP セッションを適切に再利用しないため、特定のホストを対象として重要な情報を取得される脆弱性が存在します。 |
| Possible impacts | 第三者により、大量の HTTPS リクエストを誘発し、その後で特定のホストへの HTTP リクエストを誘発する巧妙に細工された HTML ドキュメントを介して、特定のホストを対象として重要な情報を取得される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Jan. 29, 2013, midnight |
| Registration Date | Jan. 30, 2013, 4:04 p.m. |
| Last Update | Feb. 5, 2013, 5:46 p.m. |
| CVSS2.0 : 警告 | |
| Score | 4 |
|---|---|
| Vector | AV:N/AC:H/Au:N/C:P/I:P/A:N |
| マイクロソフト |
| Microsoft Internet Explorer 8 |
| Microsoft Internet Explorer 9 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2013年01月30日] 掲載 [2013年02月05日] CVSS による深刻度:基本値と攻撃条件の複雑さ、完全性への影響を変更 CWE による脆弱性タイプ一覧:CWE-ID を変更 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Microsoft Internet Explorer 8 and 9, when the Proxy Settings configuration has the same Proxy address and Port values in the HTTP and Secure rows, does not properly reuse TCP sessions to the proxy server, which allows remote attackers to obtain sensitive information intended for a specific host via a crafted HTML document that triggers many HTTPS requests and then triggers an HTTP request to that host, as demonstrated by reading a Cookie header, aka MSRC 12096gd. |
|---|---|
| Publication Date | Jan. 29, 2013, 9:27 p.m. |
| Registration Date | Jan. 26, 2021, 3:36 p.m. |
| Last Update | Nov. 21, 2024, 10:49 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:microsoft:internet_explorer:8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:internet_explorer:9:*:*:*:*:*:*:* | |||||