マイクロソフトは2日、Internet Explorer(IE)のURLをスプーフィング(偽装)できる脆弱性に対する修正プログラム「MS04-004」のリリースに伴い、デフォルト設定が変更されることに対する回避策などを掲載した。現在、同社Webサイト上で閲覧できる。
この脆弱性は、IEの入力確認エラーが原因で発生し、悪用すると「%01」などの「コントロールコード」を含むURLの場合、本来のURLを「@」直前部分のみのURLとして表示できるというものだ。
例えば、本来「impress.co.jp」のドメイン名を持つ者が、「http://www.mdn.co.jp」だけを表示したい場合、「http://www.mdn.co.jp%01@impress.co.jp/index.html」とすることで、IEのアドレスバー上には「http://www.mdn.co.jp」だけが表示され、偽装が可能になる。
この脆弱性は、セキュリティ関連サイトにおいて2003年12月9日に公開され、その後多くのサイトで実際にテスト環境が用意されるなど、悪用される可能性が非常に高くなっていた。これに対してマイクロソフトは、回避策や偽装例を公開してユーザーに警告を促していたが、根本的な解決策として一刻も早い修正プログラムのリリースが待ち望まれていた。
MS04-004の修正プログラムでは、URLを偽装できる脆弱性を修正するために、仕様変更として、アドレスバー中に「username:password」が利用できなくなった。修正プログラム適用後にパスワードなどを含むURLをクリックすると「無効な構文エラー」が表示されるという。この仕様変更により、従来からWebサイト上などで「username:password」を利用したシステムを構築・利用している場合には、修正プログラム適用後に回避策を実行しなければ、システム自体が利用できなくなる可能性がある。
マイクロソフトでは、この現象の回避策としてエンドユーザーに対しては「URLにユーザー情報を含めないようにする」方法を紹介した。また、Webサイト開発者に対しては、「ユーザー情報をWebサイトに送信する際のオブジェクトを書き換える」方法などを掲載した。なお、米MicrosftのWebサイトでは、修正プログラム適用後の新しい動作を無効にする方法として、レジストリを変更する方法も紹介されている。
関連情報
■URL
ニュースリリース
http://support.microsoft.com/?kbid=834489
ニュースリリース(英文)
http://support.microsoft.com/?scid=kb;EN-US;834489
・ URLを偽装できる脆弱性を修正したIEの累積的修正プログラム公開(2004/02/03)
・ 米MS、IEのスプーフィング脆弱性のパッチリリースを計画していると発表(2004/01/28)
( 大津 心 )
2004/02/03 17:58
- ページの先頭へ-
|