8月16日、Internet Explorer(IE)のアドレスバー表示を偽装できる新たな脆弱性が発見されたとして、米Secuniaがアドバイザリを公開した。
昨年から今年にかけて、細工を施したWebページにアクセスさせることにより、IEをはじめとするWebブラウザのアドレスバー表示を偽装できるという脆弱性が、相次いで指摘されてきた。いずれも、実際にアクセスしているWebページとは異なるURLをアドレスバーに表示させることで、ユーザーをだますのに悪用される恐れがある。金融機関やオンラインサービスを騙ってIDやパスワードといった重要なデータを盗み取ろうとするフィッシング詐欺などがその例だ。
このたび公表された脆弱性もその一種で、IE 6以前に存在するという。問題を指摘したLiu Die Yu氏によると、細工を施し、ロケーションフィールドを偽造することで、あるサイトから別のサイトに移動しているのにアドレスバー表示が更新されない状態になる。これを悪用すれば、悪意あるサイトに誘導しながら、アドレスバーには信頼できるサイトのURLを表示させるといった偽装が可能になるという。
この問題に対するパッチは公開されておらず、ActiveScript機能を無効にするなどして自衛するしかない。ただしSecuniaによると、先日公開されたWindows XP Service Pack 2を適用しているマシンでは、公にされた攻撃手法は通用しないという。IE以外のWebブラウザを利用するのも1つの手だ(が、Operaなど他のWebブラウザでも、いくつか偽装問題が指摘されている)。
関連記事
- IEのライバルにチャンス到来――脚光浴びるブラウザセキュリティ
- IEにまた脆弱性、旧バージョンでは修正済みだがIE5/6には影響
- URL偽装問題再び――IEとOutlookに
- IEのフレーム悪用でパスワード漏れ――iDEFENSEが警告
- 信じられる表示はどれ? IEを悩ませる「詐称」の問題
- IEにサイトの偽装許すバグ? MSが調査中
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.