IE7のアドレスバーに偽のURLを表示させる脆弱性

 

米国時間の14日、Internet Explorer 7(IE7)のアドレスバーに偽のURLを表示させる脆弱性が発見された。情報セキュリティ関連のメーリングリストに寄せられている情報によると、この脆弱性はIE7のローカルリソースへのリダイレクションを使用するものであるという。

CNN.comのURLを偽装したデモを表示したところ(筆者の環境におけるデモ)

IEは通常、「res://」プロトコルハンドラを使用したローカルリソースへのアクセスを制限している。しかし、ユーザにクリックと更新(ページの再読み込み)をするように誘導し、ローカルリソースへのアクセスを実現できれば、IE7の仕様を利用することができるとされる。その仕様とは、ローカルリソースへのパスをIE7は表示せず、直前のURLをそのままアドレスバーに残してしまうことだという。

この仕様と、HTTP応答によるリダイレクションを組み合わせ、さらに閲覧者を誘導できれば、偽のURLをアドレスバーに表示させることができるとされている。

ただし、ローカルリソースは「インターネットゾーン」で動作するように設計されているため、コマンド実行のような脅威には繋がらないという。

尚、本稿執筆の時点では、Microsoftの対処について公表されているものを見つけることはできなかった。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

菜々緒、ミニワンピ姿で美脚を披露「髪と悪女、脚は私の名刺です!」
[19:30 9/27] エンタメ
ヤフーの新オフィスがWebで公開 - 360度グルグル動かせる
[19:18 9/27] 企業IT
エレコム、手触りの良いソフトレザー製タブレットカバーキーボード
[19:14 9/27] パソコン
GIGABYTE、NVIDIA GeForce GTX 1060のOC仕様グラフィックスカード
[19:10 9/27] パソコン
綾瀬はるか、実家の飼い犬に「噛んじゃダメ!」
[19:00 9/27] エンタメ

求人情報