MS08-069を適用するとHttpOnly属性でクロスサイトトレーシング攻撃からCookie奪取を防げるっぽい
MSの独自拡張の仕様で、CookieのHttpOnly属性というのがあります。これはこの属性がCookieに指定されていた場合、InternetExplorerでクライアント側のスクリプトからCookieにアクセスできるできるのを防ぐことができるというものでした。
しかし、クロスサイトスクリプティング(XSS)に似ている、TRACEメソッドを利用したクロスサイトトレーシング攻撃では、このHttpOnly属性が働かずCookieを奪取されてしまうという問題がありました。
- クロスサイトトレーシングについては、この辺りを参考に:@IT:Webアプリケーションに潜むセキュリティホール(4)
- HttpOnly属性については、この辺りを参考に:httponlyは普及するのか - T.Teradaの日記
今回リリースされたMS08-069の「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」を見ると以下のようにあります。
この更新プログラムには、そのほかのセキュリティ関連の変更が含まれますか? このセキュリティ情報で提供しているセキュリティ更新プログラムには機能への変更が含まれており、MSXML に転送エンコードを制御する機能を今後許可しなくなります。このセキュリティ情報の「脆弱性の情報」に記載されている変更に加え、この更新プログラムには XMLHTTP に対する多層防御が含まれており、HTTP のみの Cookie がクライアント側のスクリプトを介しアクセスされないようにします。
もしかしたらHttpOnly属性を指定していたら、上記のクロスサイトトレーシング時のCookie奪取を防ぐことができるように修正されたのかもしれません。
「かもしれません」というのは、まだ検証していないので気になる方は要確認です。w
(追記)
今回の話、TRACEメソッドは関係ないんじゃないのかなぁ。 そもそも XMLHTTP で TRACEメソッド("\nTRACE"も) は、結構前から送れなくなってる気も。(@_@)
a threadless kite - 糸の切れた凧(2008-11-12)
という話も。結構前から送れなくなってるっていう話を知らなかった…。