★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 121.html
 ★阿修羅♪
次へ 前へ
またもやIEにアドレス・バーを偽装できるセキュリティ・ホール【IT_Pro記事】
http://www.asyura2.com/0406/it06/msg/121.html
投稿者 クエスチョン 日時 2004 年 8 月 17 日 21:24:06:WmYnAkBebEg4M
 

またもやIEにアドレス・バーを偽装できるセキュリティ・ホール【IT_Pro記事】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040817/148670/

 デンマークSecuniaなどは8月16日,Internet Explorer(IE)に見つかった新たなセキュリティ・ホールを公表した。細工が施されたWebページへアクセスすると,実際にアクセスしているサイトとは異なるURLをアドレス・バーに表示させられる。オンライン詐欺「フィッシング」などに悪用可能なセキュリティ・ホールである。パッチなどは公開されていない。対策は,怪しいリンクをクリックしないことや,アクティブスクリプトを無効にすることなど。

 セキュリティ・ホールを発見したのは,Liu Die Yu氏。同氏がセキュリティ関連メーリング・リングに投稿した内容を,Secuniaが検証して同社のサイトで公表した。Secuniaでは,すべてのパッチを適用したWindows 2000 SP4およびXP SP1で稼働するIE 6で,今回のセキュリティ・ホールを確認した。また,これら以前のバージョンでも,影響を受けるだろうとしている。ただし,Windows XP SP2に対しては,現在考えられている攻撃手法は使えないという(「影響を受けない」とは明言していない)。

 Secuniaによると,今回のセキュリティ・ホールは,IEがアドレス・バーの情報を適切に更新できないことが原因。IEが新しいブラウザ・ウインドウを開いて,そのウインドウ上である一連のアクションを実施すると,アドレス・バーの表示と実際に表示しているページのURLが一致しなくなる。このセキュリティ・ホールを突けば,悪意があるページを有名企業のページに見せかけることができる。

 写真はSecuniaが公開するデモ・ページ(写真の拡大表示)。アドレス・バーの表示は「www.yahoo.com」だが,表示されているのはSecuniaのページである。

 米Microsoftからはセキュリティ情報やパッチは公開されていない。Secuniaでは,対策としてIEのアクティブスクリプトを無効にすることと,別のブラウザを使うことを挙げている。信頼できないWebサイトやメール中のリンクを安易にクリックしないことも重要である。細工を施したWebページにアクセスしなければ,アドレス・バーを偽装されることはない。

◎参考資料
◆Internet Explorer Address Bar Spoofing Vulnerability(Secunia)

(勝村 幸博=IT Pro)

 次へ  前へ

IT6掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。