hasegawayosuke https://blog.hatena.ne.jp/hasegawayosuke/ 葉っぱ日記 https://hasegawa.hatenablog.com/ SECURITY すでに1年近く経っていますが、Microsoft Security Bulletin MS10-090 - Critical : Internet Explorer 用の累積的なセキュリティ更新プログラム (2416400) に含まれる「クロス ドメインの情報の漏えいの脆弱性」- CVE-2010-3348 について書いておきます。発見者は @okomekiさん。 ISO-2022-JPで作成されたWebページにおいて、HTML先頭から4096バイト目付近にエスケープシーケンスが置かれた場合、正しく文字集合を切り替えることができないというバグがありました。 例えば、 (1) : 0x1B 0x… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fhasegawa.hatenablog.com%2Fentry%2F20111102%2Fp1" title=" MS10-090 Internet Explorer 用の累積的なセキュリティ更新プログラム で修正されたXSSの話 - 葉っぱ日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2011-11-02 00:00:00 rich https://hasegawa.hatenablog.com/entry/20111102/p1 1.0 100%