Internet ExplorerのCSS脆弱性をついて攻撃される手法らしいです。
これはCSSをインポートする事で、端末の情報などを抜き取られてしまうので、Javascriptを切っててもやられてしまうのでたちが悪い。
ちょっと前まではmixiのpost_keyもこの手法で抜き取られたりしてたんだってさ。(いまは対応してるみたいだけど)
IT用語辞典の「注目用語ランキング」で昨日からいきなりランクアップしていたので気になって見たらこんなんでした。。。
何かあったのかな?
CSSXSSとは
Internet Explorerのスタイルシート(CSS)の呼び出し機能に潜む脆弱性をつく攻撃手法。攻撃者は不正なCSSインポートを含んだWebページを閲覧させることにより、被害者のコンピュータから不正に情報を入手することができる。
CSSでは別ドメインに置かれた外部スタイルシートファイルを「@import」宣言などを使って読み込む(インポートする)ことができるが、Internet Explorerでは外部ファイルの種類を自動判別するため、ファイル名のわかる“{”が入ったテキストファイルを自由に抜き出せてしまう。インポート方法は@import、addimport、link要素、xml-stylesheetなどが知られ、インポートされるファイルがShift-JISで記述されている場合は、文字コード的に“{”と類似するカタカナの「ボ」や「マ」などが入っていても抜き出されてしまう。
引用元:CSSXSSとは 【CSS Cross Site Scripting】 ─ 意味・解説 : IT用語辞典 e-Words