ニュース
2004/04/02 21:33 更新


URL偽装問題再び――IEとOutlookに

Internet ExplorerとOutlook Expressに、URL偽装が可能な新たな問題が存在することが判明した。

 マイクロソフトのInternet Explorer(IE)とOutlook Expressに、またもや、URL偽装が可能な新たな問題が存在することが判明した。これを悪用されれば、ユーザーがクリックしたつもりのURLとは別のサイトに誘導される恐れがある。

 IEのアドレスバーやステータスバーに表示されるURLを偽装され、ユーザーが意図したところとは別のサイトに誘導されてしまうという同種の問題は、2003年12月にも指摘されていた。マイクロソフトはその後、緊急のセキュリティパッチをリリースして問題を修正している。ただ一方で、フォルダや拡張子などを同じように詐称(偽造)できてしまう問題が指摘されている。

 この手の問題は、それ自体が脆弱性となるわけではない。しかし、悪意あるコードを仕込んだWebサイトへの誘導を容易にする――実質、自動的に誘導されてしまう――ことから、十分な注意が必要だ。

 今回の問題は、最初のURL偽装とよく似たケースだ。この問題についてセキュリティ関連メーリングリストに投稿を行ったhttp-equiv氏によると、HTML中にFORMタグを悪用した記述を行うことで、ユーザーにはそれと知られず悪意あるサイトに誘導する(リダイレクトさせる)ことが可能という。しかもこの手法は、スクリプトを用いるわけではない。

 この投稿およびSecuniaのアドバイザリによると、問題が存在するのはIE 5.01/5.5/6およびOutlook Express 5/5.5/6という。現時点では解決策は存在しないため、怪しげなサイトは訪問せず、不用意にリンクをクリックしないことで身を守るしかない。

関連記事
▼IEのセキュリティパッチで一部のアプリケーションの利用に障害
▼MS、IEの脆弱性に対応の臨時パッチ
▼信じられる表示はどれ? IEを悩ませる「詐称」の問題
▼Secunia、IE使った新手のURL詐称をデモ
▼IEのサイト偽装問題で被害をこうむらないために
▼IEにサイトの偽装許すバグ? MSが調査中

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.