米Microsoftは、2003年12月に発見され、未だにセキュリティ修正プログラム(パッチ)がリリースされていない「Internet Explorer(IE)のURLをスプーフィングできる脆弱性に関するパッチのリリースを計画している」と発表した。ただし、リリース時期などは明記されていない。
IEのURLをスプーフィングできる脆弱性とは、「%01」などのコントロールコードを含むURLの場合に、IEのアドレス欄を詐称できるというもの。実際には、「http://www.mdn.co.jp%01@www.impress.co.jp/(%01はコントロールコード)」とした場合、「http://www.impress.co.jp/」を訪れているにもかかわらず、アドレス欄には「http://www.mdn.co.jp/」と表示されるため、ユーザーに誤解を与えることができる。
この脆弱性を悪用すると、有名なショッピングサイトなどになりすまして個人情報の詐取が可能。また、すでに多くのWebサイトにおいて脆弱性を再現可能な手法が公開されているため、早急なパッチの公開が望まれている状態だ。
今回の発表によると、アドレス欄の仕様変更によりIDやパスワードを無効にすることによって偽装を防ぐアップデートを実施するという。しかし、リリース時期に関しては明記していない。また、新たな回避方法なども紹介されていない。マイクロソフトの日本法人では、「管理者は事前準備が必要なため、情報だけでもと考えて先出した。リリース時期は、現在のところ未定だ」とコメントしている。
なお、IE以外のWebブラウザである「Mozilla 1.6」や「Opera 7.23」では、上記の偽装を回避できるほか、NACのウイルス対策ソフト「VirusScan」などでは警告文が表示されるため、回避策としてこれらのソフトウェアを利用する方法も存在する。
関連情報
■URL
ニュースリリース(英文)
http://support.microsoft.com/?kbid=834489
・ IEにURLを偽装できるパッチ未公開の脆弱性が発見される(2003/12/11)
・ MS、IEのURLを偽装できる脆弱性の回避策を公開、ただしパッチは未提供(2003/12/17)
・ IE脆弱性を悪用するアドレス詐称サイトに注意!(2003/12/16)
・ マイクロソフト、相次いで発見されたパッチ未公開脆弱性の見解を語る(2003/12/24)
( 大津 心 )
2004/01/28 20:23
- ページの先頭へ-
|