製品・ソフトウェアに関する情報
Vulnerability Search
Microsoft Windows 10 および Windows Server 2016 上で稼動する Internet Explorer 11 における 1 つのドメインからアクセスした情報を別のドメインに挿入される脆弱性
Title Microsoft Windows 10 および Windows Server 2016 上で稼動する Internet Explorer 11 における 1 つのドメインからアクセスした情報を別のドメインに挿入される脆弱性
Summary

Microsoft Windows 10 および Windows Server 2016 上で稼動する Internet Explorer 11 は、クロスドメインポリシーを適用しないため、1 つのドメインからアクセスした情報を別のドメインに挿入される脆弱性が存在します。 マイクロソフトセキュリティ情報には、この脆弱性は「Internet Explorer 特権の昇格の脆弱性」と記載されています。

Possible impacts 攻撃者により、巧妙に細工されたアプリケーションを介して、1 つのドメインからアクセスした情報を別のドメインに挿入される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date March 14, 2017, midnight
Registration Date March 24, 2017, 11:51 a.m.
Last Update March 24, 2017, 11:51 a.m.
CVSS3.0 : 警告
Score 4.4
Vector CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
CVSS2.0 : 警告
Score 5.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:N
Affected System
マイクロソフト
Microsoft Internet Explorer 11
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2017年03月24日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2017-0154
Summary

Microsoft Internet Explorer 11 on Windows 10, 1511, and 1606 and Windows Server 2016 does not enforce cross-domain policies, allowing attackers to access information from one domain and inject it into another via a crafted application, aka, "Internet Explorer Elevation of Privilege Vulnerability."

Publication Date March 17, 2017, 9:59 a.m.
Registration Date Jan. 26, 2021, 1:10 p.m.
Last Update Nov. 21, 2024, 12:02 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:microsoft:internet_explorer:11:-:*:*:*:*:*:*
execution environment
1 cpe:2.3:o:microsoft:windows_10:-:*:*:*:*:*:*:*
2 cpe:2.3:o:microsoft:windows_10:1511:*:*:*:*:*:*:*
3 cpe:2.3:o:microsoft:windows_10:1607:*:*:*:*:*:*:*
4 cpe:2.3:o:microsoft:windows_server_2016:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List