デンマークのセキュリティ企業Secunia社は9日、Internet Explorer(IE)にURLをスプーフィング(偽装)できる脆弱性が発見されたと発表した。この脆弱性を悪用することにより、アドレスバーに表示されるURLを偽装することができる。同社では危険度を5段階中の4に設定して警告している。
この脆弱性はIEの入力確認エラーが原因で起こる。この脆弱性を悪用すると、「%01」などを含むURLの場合、本来のURLを「@」直前部分のみのURLとして表示できるというもの。
例えば、本来『impress.co.jp』のドメイン名を持つ業者が、「http://www.mdn.co.jp」だけを表示したい場合、「http://www.mdn.co.jp%01@impress.co.jp/index.html」などとすることで、IEのアドレスバー上には「http://www.mdn.co.jp」だけが表示され、偽装が可能になるという。この脆弱性はIE 6.0で確認され、それ以前のバージョンにも存在する可能性があるという。
この脆弱性に対するセキュリティ修正プログラムは、現在のところ公開されていない。回避策としては、ファイアウォールやプロキシサーバーによるURLフィルタリングが有効だとしている。同社では、11月にもIEで任意のコードを実行される可能性のある脆弱性を公開しており、こちらに対しても未だセキュリティ修正プログラムは提供されていない。
この点について、マイクロソフト取締役経営戦略担当の東貴彦氏は「一部で報道されたIEの脆弱性については認識している」とコメント。ただし、まだ攻撃コード(exploit code)が発見されていないことから緊急度は低く、「修正プログラムの開発を急がせて、不十分なものにならないよう、12月の“月例”修正プログラムではリリースしなかった。準備ができ次第公開したい」と語った。
さらに毎月の修正プログラム配布についても言及。「今後は、配布スケジュールを現在の1カ月に1度から3カ月ごと、もしくは半年ごとに変更することも考えている」とコメントした。
関連情報
■URL
ニュースリリース(英文)
http://www.secunia.com/advisories/10395/
11月発表のニュースリリース(英文)
http://www.secunia.com/advisories/10289/
・ マイクロソフト“月例”のセキュリティパッチ、今月はリリースなし(2003/12/10)
( 大津 心 )
2003/12/11 14:25
- ページの先頭へ-
|