Android版ChromeとAppleのSafariにアドレスバー偽装の脆弱性
Chromeの脆弱性は修正されたが、Safariではまだ未解決のまま。コンセプト実証ページも公開されている。
米GoogleのAndroidに搭載されているWebブラウザ「Chrome」と、米AppleのWebブラウザ「Safari」に、アドレスバー偽装の脆弱性が報告された。Chromeの脆弱性は修正されたが、Safariではまだ未解決のままで、コンセプト実証ページも公開されている。
セキュリティ企業のRapid7によると、Android向けChromeの脆弱性は、「204エラー」(コンテンツなし)と新しいウィンドウを開く「window.open」のイベントを組み合わせた際の処理問題に起因する。
この問題を突いてアドレスバーを偽装された場合、フィッシング詐欺でユーザーがだまされ、攻撃者の制御する信頼できないWebページにパスワードや個人情報などを入力してしまう恐れがある。
この問題はセキュリティ研究者が発見してRapid7に連絡し、コンセプト実証コードの開発に協力。Rapid7から報告を受けたGoogleは、4月上旬から下旬にかけてAndroid 5.0.x(Lollipop)と4.4.x(KitKat)向けにパッチを公開した。
パッチはキャリア経由で配信される見通しだが、「もし特定の機種やキャリアでパッチが入手できない場合は、Chromeを使った認証は避けた方がいい」とRapid7は指摘し、メールなどで送られてきたリンクを不用意にクリックしたりしないようアドバイスしている。
一方、Appleの「Safari」に存在する同様の脆弱性については、5月17日にコンセプト実証ページが公開された。このページはiPad向けのSafariに対して通用するとされ、アドレスバーのURLで英紙デイリーメールの正規サイトに見せかけて、デイリーメールとは無関係のコンテンツが表示されることを実証している。
関連記事
- 「Googleが脆弱性を放置」と、セキュリティ企業が批判
- Apple、OS X向けSafari更新版を公開 WebKitなどの脆弱性を解決
- サイバー攻撃で狙われるすごく危険な脆弱性、4ベンダー30種が公開
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.