IE7のアドレスバーに偽のURLを表示させる脆弱性

藤原雅巳  [2007/03/19]

米国時間の14日、Internet Explorer 7(IE7)のアドレスバーに偽のURLを表示させる脆弱性が発見された。情報セキュリティ関連のメーリングリストに寄せられている情報によると、この脆弱性はIE7のローカルリソースへのリダイレクションを使用するものであるという。

CNN.comのURLを偽装したデモを表示したところ(筆者の環境におけるデモ)

IEは通常、「res://」プロトコルハンドラを使用したローカルリソースへのアクセスを制限している。しかし、ユーザにクリックと更新(ページの再読み込み)をするように誘導し、ローカルリソースへのアクセスを実現できれば、IE7の仕様を利用することができるとされる。その仕様とは、ローカルリソースへのパスをIE7は表示せず、直前のURLをそのままアドレスバーに残してしまうことだという。

この仕様と、HTTP応答によるリダイレクションを組み合わせ、さらに閲覧者を誘導できれば、偽のURLをアドレスバーに表示させることができるとされている。

ただし、ローカルリソースは「インターネットゾーン」で動作するように設計されているため、コマンド実行のような脅威には繋がらないという。

尚、本稿執筆の時点では、Microsoftの対処について公表されているものを見つけることはできなかった。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

男性の部屋、ここを掃除していればモテる!
[04:00 6/27] ライフスタイル
「銀魂」財布は銀さんや土方など全4種、苺パフェやマヨネーズがアクセント
[23:37 6/26] ホビー
池田乾の「セバスチャン」2作品、最終巻が同時発売!特典も
[23:15 6/26] ホビー
【レポート】「下手くそなりに体を動かして、生駒と一緒にあがきたいです」-『甲鉄城のカバネリ』トークショーに生駒役・畠中祐が登場
[23:00 6/26] ホビー
「キン肉マン」の"完璧・参式"ミラージュマン、新シリーズから初フィギュア化
[22:35 6/26] ホビー

求人情報