製品・ソフトウェアに関する情報

JVN脆弱性詳細

Microsoft Internet Explorer 8 における任意の Web スクリプトを実行される脆弱性

タイトル	Microsoft Internet Explorer 8 における任意の Web スクリプトを実行される脆弱性
概要	Microsoft Internet Explorer 8 は、トップレベルのフレームが https を使用する場合に、https の Web ページの http コンテンツを検知する、および "HTTP-Intended-but-HTTPS-Loadable (HPIHSL) ページ" に関する処理に不備があるため、https サイトのコンテキストの任意の Web スクリプトを実行される脆弱性が存在します。
想定される影響	中間攻撃者により、http サイト上でスクリプトファイルを参照する https iframe をインクルードされ、http ページを変更されることで、https サイトのコンテキストの任意の Web スクリプトを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年5月31日0:00
登録日	2012年9月25日17:27
最終更新日	2012年9月25日17:27

影響を受けるシステム

マイクロソフト

Microsoft Internet Explorer 8 およびその他のバージョン

pocket internet explorer 8 およびその他のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2064	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2064
National Vulnerability Database (NVD)
2	CVE-2009-2064	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2064

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	名前	URL
Microsoft
1	Pretty-Bad-Proxy: An Overlooked Adversary in Browsers' HTTPS Deployments	http://research.microsoft.com/apps/pubs/default.aspx?id=79323

変更履歴

No	変更内容	変更日
0	[2012年09月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-2064

概要	Microsoft Internet Explorer 8, and possibly other versions, detects http content in https web pages only when the top-level frame uses https, which allows man-in-the-middle attackers to execute arbitrary web script, in an https site's context, by modifying an http page to include an https iframe that references a script file on an http site, related to "HTTP-Intended-but-HTTPS-Loadable (HPIHSL) pages."
公表日	2009年6月16日4:30
登録日	2021年1月29日13:19
最終更新日	2018年10月31日1:26

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:internet_explorer:5:::::::*
cpe:2.3:a:microsoft:internet_explorer:5.01:sp4::::::
cpe:2.3:a:microsoft:internet_explorer:6:::::::*
cpe:2.3:a:microsoft:internet_explorer:6:sp1::::::
cpe:2.3:a:microsoft:internet_explorer:6:sp2::::::
cpe:2.3:a:microsoft:internet_explorer:7:::::::*
cpe:2.3:a:microsoft:internet_explorer:7.0.5730:::::::*
cpe:2.3:a:microsoft:internet_explorer:8:::::::*
cpe:2.3:a:microsoft:internet_explorer:8:beta1::::::
cpe:2.3:a:microsoft:internet_explorer::beta2::::::*		8
cpe:2.3:a:microsoft:internet_explorer:8.0b:::::::*
cpe:2.3:a:microsoft:pocket_ie:1.0:::::::*
cpe:2.3:a:microsoft:pocket_ie:1.1:::::::*
cpe:2.3:a:microsoft:pocket_ie:2.0:::::::*
cpe:2.3:a:microsoft:pocket_ie:3.0:::::::*
cpe:2.3:a:microsoft:pocket_ie:4.0:::::::*
cpe:2.3:a:microsoft:pocket_ie:2002:::::::*
cpe:2.3:a:microsoft:pocket_ie:2003:::::::*

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:internet_explorer:5:::::::*
cpe:2.3:a:microsoft:internet_explorer:5.01:sp4::::::
cpe:2.3:a:microsoft:internet_explorer:6:::::::*
cpe:2.3:a:microsoft:internet_explorer:6:sp1::::::
cpe:2.3:a:microsoft:internet_explorer:6:sp2::::::
cpe:2.3:a:microsoft:internet_explorer:7:::::::*
cpe:2.3:a:microsoft:internet_explorer:7.0.5730:::::::*
cpe:2.3:a:microsoft:internet_explorer:8:::::::*
cpe:2.3:a:microsoft:internet_explorer:8:beta1::::::
cpe:2.3:a:microsoft:internet_explorer::beta2::::::*		8
cpe:2.3:a:microsoft:internet_explorer:8.0b:::::::*
cpe:2.3:a:microsoft:pocket_ie:1.0:::::::*
cpe:2.3:a:microsoft:pocket_ie:1.1:::::::*
cpe:2.3:a:microsoft:pocket_ie:2.0:::::::*
cpe:2.3:a:microsoft:pocket_ie:3.0:::::::*
cpe:2.3:a:microsoft:pocket_ie:4.0:::::::*
cpe:2.3:a:microsoft:pocket_ie:2002:::::::*
cpe:2.3:a:microsoft:pocket_ie:2003:::::::*

No	URL	refsource
1	http://research.microsoft.com/apps/pubs/default.aspx?id=79323	MISC
2	http://research.microsoft.com/pubs/79323/pbp-final-with-update.pdf	MISC
3	http://www.securityfocus.com/bid/35403	BID
4	https://exchange.xforce.ibmcloud.com/vulnerabilities/51186	XF