Internet Watch logo
記事検索
最新ニュース

IEにまたもやURLを偽装できる脆弱性が発見される

〜マイクロソフトからのパッチは未提供、デモサイトも用意されている

Secuniaが用意したデモサイト。中身はSecuniaだが、アドレスバーには「www.yahoo.com」と表示されているのがわかる
 デンマークのセキュリティベンダーSecuniaは16日、Internet Explorer(IE)のアドレスバーに表示されるURLを偽装できる脆弱性を警告した。フィッシング詐欺などに悪用される可能性がある。同社では、深刻度“中”として評価している。現在マイクロソフトは、この脆弱性を修正するセキュリティ修正プログラム(パッチ)をリリースしていない。

 この脆弱性は、細工が施されたWebサイトを閲覧すると、実際に訪れているWebサイトと異なったURLがIEのアドレスバーに表示されるというもの。例えば、アドレスバーに「www.yahoo.com」と表示してユーザーを安心させ、サイト内でクレジットカード番号を詐取するといった詐欺行為に悪用される可能性がある。

 原因は、IEがアドレスバーの情報を正確に更新できないため。IEが新しいウィンドウを開いた際に、その新しいウィンドウ上で特定の操作が行なわれると、アドレスバーに表示しているURLと実際に表示しているWebサイトのURLが一致しなくなるという。これにより、フィッシング詐欺などに悪用される可能性がある。

 Secuniaでは、すべてのパッチを適用したWindows XP SP1/2000 SP4のIE 6において、この現象が起こることを確認したほか、IE 5.01やIE 5.5でも影響を受ける可能性があると指摘している。また、同社ではこの脆弱性の再現デモとして、アドレスバーには「www.yahoo.com」を表示しているものの、中身にはSecuniaのページが表示されているデモサイトを用意している。

 同社では回避方法として、IEのアクティブスクリプトを無効にすることや、ほかのブラウザを利用することを推奨している。また、基本的に信頼できないWebサイトやメールのURLをクリックしないことを心がけることも重要だ。


関連情報

URL
  ニュースリリース(英文)
  http://secunia.com/advisories/12304/

関連記事
IEのフレーム内にほかのサイトを表示できるスプーフィング脆弱性(2004/07/01)


( 大津 心 )
2004/08/18 13:26

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.