もう何度目? IEのアドレスバー偽装問題、再び

IEのアドレスバー表示を偽装できる新たな脆弱性が発見されたとして、米Secuniaがアドバイザリを公開した。

» 2004年08月17日 22時42分 公開
[ITmedia]

 8月16日、Internet Explorer(IE)のアドレスバー表示を偽装できる新たな脆弱性が発見されたとして、米Secuniaがアドバイザリを公開した。

 昨年から今年にかけて、細工を施したWebページにアクセスさせることにより、IEをはじめとするWebブラウザのアドレスバー表示を偽装できるという脆弱性が、相次いで指摘されてきた。いずれも、実際にアクセスしているWebページとは異なるURLをアドレスバーに表示させることで、ユーザーをだますのに悪用される恐れがある。金融機関やオンラインサービスを騙ってIDやパスワードといった重要なデータを盗み取ろうとするフィッシング詐欺などがその例だ。

 このたび公表された脆弱性もその一種で、IE 6以前に存在するという。問題を指摘したLiu Die Yu氏によると、細工を施し、ロケーションフィールドを偽造することで、あるサイトから別のサイトに移動しているのにアドレスバー表示が更新されない状態になる。これを悪用すれば、悪意あるサイトに誘導しながら、アドレスバーには信頼できるサイトのURLを表示させるといった偽装が可能になるという。

 この問題に対するパッチは公開されておらず、ActiveScript機能を無効にするなどして自衛するしかない。ただしSecuniaによると、先日公開されたWindows XP Service Pack 2を適用しているマシンでは、公にされた攻撃手法は通用しないという。IE以外のWebブラウザを利用するのも1つの手だ(が、Operaなど他のWebブラウザでも、いくつか偽装問題が指摘されている)。

Copyright © ITmedia, Inc. All Rights Reserved.