Internet Watch logo
記事検索
最新ニュース

米ISS、URL偽装可能なIEの脆弱性に対するフィルターソフトをリリース


 米Internet Security Systems(ISS)は19日、URL偽装が可能なIEの脆弱性に対するフィルターソフトをリリースした。このフィルターソフトはIEのプラグインとして動作し、「%01」などのコントロールコードが含まれるURLへのアクセスに対して、コントロールコード以降の文字列を廃棄する動作を行なう。具体的には「http://www.mdn.co.jp^A@www.impress.co.jp/」といったURLにアクセスしようとすると「http://www.mdn.co.jp」へのアクセスとなり、「^A」以降の文字列は無視される(「^A」は実際にはコントロールコード)。

 また、米Openwaresも20日、同様のフィルターソフトをリリースしている。こちらも同様にIEのプラグインとして動作し、コントロールコードが含まれているURLにアクセスした場合には、偽装URLであるためにブロックしたという旨のメッセージが表示される仕組みになっている。


URL偽装の例。アドレス欄にはwww.mdn.co.jpと表示されているが、画面にはwww.impress.co.jpが表示されている ISSのフィルターソフトを入れた場合。コントロールコード以降のURLは無視され、www.mdn.co.jpが表示される

Openwaresのフィルターソフトを入れた場合。偽装URLと判断したためブロックした、という旨のメッセージが表示される

関連情報

URL
  Internet Security Systems:Microsoft Internet Explorer domain URL spoofing filter
  http://www.iss.net/support/product_utilities/domainspooffilter/
  Openwares:Internet Explorer URL Spoofing Vulnerability
  http://security.openwares.org/
  関連記事:マイクロソフト、相次いで発見されたパッチ未公開脆弱性の見解を語る
  http://internet.watch.impress.co.jp/cda/special/2003/12/24/1593.html
  関連記事:IE脆弱性を悪用するアドレス詐称サイトに注意!
  http://internet.watch.impress.co.jp/cda/special/2003/12/16/1522.html
  関連記事:IEにURLを偽装できるパッチ未公開の脆弱性が発見される
  http://internet.watch.impress.co.jp/cda/news/2003/12/11/1451.html


( 三柳英樹 )
2003/12/24 17:17

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.