• IE 6にパッチ未提供の脆弱性、実証コードすでに公開済み

Internet Explorer（IE）6に、クロスドメインスクリプティングの脆弱性があることがわかった。修正パッチが提供されておらず、すでに実証コードも公開されているため、SecuniaやUS-CERTなどが注意を呼びかけている。

デンマークのSecuniaによると、この脆弱性は、ウィンドウオブジェクトの“location”および“location.href”プロパティを処理する際の入力検証エラーが原因。攻撃者はこの脆弱性を悪用することで、別のドメインのサイトのコンテンツを装って任意のスクリプトを実行させることが可能になる。また、US-CERTのブログによると、Cookieを盗んだり、セッションを乗っ取ることも可能だと説明している。