Internet Watch logo
記事検索
最新ニュース

IEでアドレスバーを偽装される脆弱性、Secuniaなどが警告


 デンマークのSecuniaや仏FrSIRTは4日、アドレスバーを偽装される脆弱性がInternet Explorer(IE)に確認されたとして警告した。

 この脆弱性は、Flash形式のコンテンツ(.swf)とWebコンテンツを同一ウィンドウ上でロードする際の競合が原因。「window.open」メソッドを使っている際に発生するという。これを悪用すると、ウィンドウ内に表示しているサイトとは別のサイトのURLをアドレスバーに表示できる。フィッシング詐欺に悪用される恐れがある。

 Secuniaでは、パッチをフル適用したIE 6.0とWindows XP SP1/SP2の環境のほか、3月に公開されたIE 7 Beta 2のプレビュー版でもこの脆弱性を確認したという。他のバージョンでも影響を受ける可能性があるとしており、回避策としてはアクティブスクリプトを無効にする方法を挙げている。

 Secuniaでは、この脆弱性を再現するテストページを公開している。脆弱性があるブラウザでは、アドレスバーにGoogleのURLを表示する一方で、ウィンドウ内はSecuniaのサイトが表示されるというものだ。

 なお、FrSIRTではこの脆弱性の危険度を“Moderate Risk”(4段階中の下から2番目)とレーティングしている。一方Secuniaでは当初、“Less Critical”(5段階中の下から2番目)としていたが、5日になって“Moderately Critical”(3番目)に引き上げた。


関連情報

URL
  Secuniaのセキュリティアドバイザリ(英文)
  http://secunia.com/advisories/19521/
  FrSIRTのセキュリティアドバイザリ(英文)
  http://www.frsirt.com/english/advisories/2006/1218

関連記事
XP SP2のIE 6にタイトルバーを偽装される脆弱性、フィッシング詐欺も懸念(2005/02/22)


( 永沢 茂 )
2006/04/07 16:23

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.