現在地 HOME > 掲示板
> IT5 > 684.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT5 > 684.html
★阿修羅♪
|
|
| Tweet |
またもやOperaにアドレス・バーを偽装されるセキュリティ・ホール【IT_Pro記事】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040622/146233/
セキュリティ・ベンダーのデンマークSecuniaは現地時間6月22日,Webブラウザ「Opera」にアドレス・バーを偽装されるセキュリティ・ホールがあることを公表した。Webページを“工夫”すると,実際にアクセスしているサイトとは異なるURLをアドレス・バーに表示させられる。オンライン詐欺(例えば,フィッシング)に悪用される可能性があるので,十分注意したい。
セキュリティ・ホールを発見したのはSecuniaではない。6月18日ごろ,セキュリティ関連のメーリング・リストなどに投稿された。写真は,投稿されたHTMLのソースをOpera 7.51 for Windows(英語版)で表示させたもの。実在しないURL「https://pizza.opera.com/order.html」がアドレス・バーに表示されている。アドレス・バーを見る限りでは,ノルウェーOpera Softwareのページに思えるが,実際は全く別のサイトのページである。表示されているアドレス・バーは,スクリプトやHTML(iframeなど)で作られた偽物である。
Secuniaの情報では,「Windows版のOpera 7.51でセキュリティ・ホールを確認したが,別のバージョンも影響を受けるだろう」としているが,Opera 7.23 for Windows(日本語版)を使って編集部で試したところ,写真のような偽装は確認できなかった(もちろん,投稿されたHTMLでは偽装できなかっただけで,セキュリティ・ホールが存在する可能性は十分にある)。
パッチや修正版は公開されていない。対策は,とにかく怪しいリンクをクリックしないことと,安易に個人情報などを入力しないこと。Secuniaでは,「URLはアドレス・バーに直接入力する」,「信頼できないソース(Webページやメール)中のリンクをクリックしない」――ことを,対策として挙げている。また,Operaの設定でJavaScriptを無効にすれば,偽装アドレス・バーは表示されない。
Operaに限らず,Webブラウザには“見た目”を偽装できるセキュリティ・ホールが次々と見つかっている。十分注意しよう。
◎参考資料
◆Opera Address Bar Spoofing Security Issue(Secunia)
(勝村 幸博=IT Pro)
関連記事
<“偽装されるセキュリティ・ホール”関連>
IEやMozillaにアドレス・バーを偽装されるセキュリティ・ホール (2004/06/14)
Operaにセキュリティ・ホール,「ファビコン」でアドレス・バーを偽装できる (2004/06/04)
Operaブラウザにアドレス・バーを偽装できるセキュリティ・ホール (2004/05/13)
Outlook ExpressやEudoraなどにステータス・バーを偽装できるセキュリティ・ホール (2004/05/11)
リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意 (2004/04/05)
URLを偽装できるIEのセキュリティ・ホールは危険,「プロパティ」情報も信用できない (2003/12/17)
解消されない“URLの偽装問題”,1月もIEのパッチは公開されず (2004/01/21)
IEに,ダウンロードするファイル名を偽装されるセキュリティ・ホール (2004/01/29)
<“フィッシング”関連>
フィッシングに対抗する団体「TECF」が発足,防止に向け標準仕様策定へ (2004/06/17)
“phishing”の新たな手口が出現,「今まで見たことがない」――業界団体 (2004/04/02)
phishing――だましのメールに釣られるな (2004/03/15)
題名には必ず「阿修羅さんへ」と記述してください。