現在地 HOME > 掲示板
> IT5 > 530.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT5 > 530.html
★阿修羅♪
|
|
| Tweet |
Operaブラウザにアドレス・バーを偽装できるセキュリティ・ホール【IT_Pro記事】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040513/144137/
[2004/05/13]
セキュリティ・ベンダーのデンマークSecuniaは現地時間5月13日,Webブラウザ「Opera」にアドレス・バーを偽装できるセキュリティ・ホールがあることを公表した。セキュリティ・ホールを悪用すると,現在アクセスしているWebページとは異なるURLをアドレス・バーに表示させることが可能となる。
直接攻撃を受けるようなセキュリティ・ホールではないが,フィッシングなどに使われる可能性があるので要注意である(関連記事)。対策は,最新版のバージョン7.50にアップデートすること(関連記事)。ただし,7.50の日本語版は未公開。
Operaは,リダイレクト(別のWebページに飛ばす命令)を要求されると,実際にリダイレクトできたかどうかとは無関係に,“とりあえず”アドレス・バーをリダイレクト先のURLにしてしまう――。これが今回のセキュリティ・ホールである。つまり,「リダイレクトを要求するが,その後,そのリダイレクトを取りやめるような命令を記述したWebページ」にアクセスすると,アドレス・バーは変更されるが,アクセスしているページ(サイト)はそのまま,といった状況が発生する。
このセキュリティ・ホールを突いて,ユーザーのマシンを乗っ取ったり,ウイルスなどを送り込んだりすることはできない。しかし,罠を仕掛けたWebページにユーザーを誘導して,“仮”のリダイレクト先に信用できる企業のURLを指定しておけば,罠を仕掛けたページを信頼できる企業のページだと思わせることが可能となる。
アドレス・バーやステータス・バーを偽装できるセキュリティ・ホールは,Internet ExplorerやOutlook Express,Eudoraなどにも見つかっている(関連記事1,関連記事2,関連記事3)。使用しているブラウザやメール・ソフトの種類にかかわらず,十分注意してほしい。
◎参考資料
◆Opera Browser Address Bar Spoofing Vulnerability(Secunia)
(勝村 幸博=IT Pro)
関連記事
<“Opera”関連>
Opera最新版登場,サイト更新情報受信機能をメーラーに統合 (2004/05/13)
ユーザー・インタフェースを大幅改良したOpera 7.50がリリース (2004/05/13)
ボーダフォンとDDIポケット,相次いで戦略製品を発表 (2004/04/23)
京セラ,Operaブラウザを搭載したAir H”PHONEを発売 (2004/04/22)
攻撃はポートスキャンから始まる(上) (2004/04/28)
攻撃はポートスキャンから始まる(中) (2004/05/06)
攻撃はポートスキャンから始まる(下) (2004/05/11)
「ブラウザ・ベースの攻撃が新たな脅威として急増中」,米CompTIAの調査より (2004/04/14)
W3C,一連のDOM仕様を完成 (2004/04/08)
IE/Netscape/Operaユーザーは必見,Webブラウザのセキュリティ総点検 (2003/02/26)
題名には必ず「阿修羅さんへ」と記述してください。