|
この脆弱性を悪用したデモサイトの例。フレームの外側はWindowsUpdateのサイトのように見えるが、フレーム内はまったく別のサイト内容となっているのがわかる
|
デンマークのセキュリティベンダーSecuniaは30日、Internet Explorer(IE)にフレーム内を詐称(スプーフィング)できる脆弱性を発見したと発表した。対象となるバージョンは、IE 6/5.5/5.01。現在のところ、この脆弱性に対する修正プログラムは提供されていない。
この脆弱性は、攻撃者が細工を施したWebサイトを作成すると、サイトのフレーム内に本来のサイトとは異なる任意のコンテンツを表示できてしまうというもの。発見者のhttp-equiv氏のデモサイトでは、マイクロソフトのWindowsUpdateのサイトのフレーム内に、本来とはまったく異なるコンテンツが表示されている。
このように、フレームの外側では有名サイトを装ってユーザーを信頼させ、フレーム内でクレジットカード番号を入力させる詐欺(フィッシング詐欺)などに悪用される可能性があるため、Secuniaでは十分な注意を呼びかけている。
Secuniaによると、この脆弱性は6年前の1998年に発見され、IE 4/3ではすでに修正プログラムが提供されている脆弱性「MS98-020」が、IE 6/5.5/5.01で再現できてしまっているのだと指摘。IE 6/5.5/5.01では、現在のところマイクロソフトからこの脆弱性を修正するためのセキュリティ修正プログラムは提供されていない。
同社では、「疑わしいサイトにはアクセスしない、リンクをクリック」しないといった心構えが必要であるとしているほか、IE以外のWebブラウザを利用することも対策のひとつとして検討するように推奨している。
関連情報
■URL
ニュースリリース(英文)
http://secunia.com/advisories/11966/
■関連記事
・ ISS、IEに存在するパッチ未公開のクロスゾーンの脆弱点を警告(2004/06/28)
・ IE6のセキュリティゾーン設定をすり抜けられてしまう脆弱性(2004/06/14)
( 大津 心 )
2004/07/01 14:33
- ページの先頭へ-
|