IE7のアドレスバーに偽のURLを表示させる脆弱性

藤原雅巳  [2007/03/19]

米国時間の14日、Internet Explorer 7(IE7)のアドレスバーに偽のURLを表示させる脆弱性が発見された。情報セキュリティ関連のメーリングリストに寄せられている情報によると、この脆弱性はIE7のローカルリソースへのリダイレクションを使用するものであるという。

CNN.comのURLを偽装したデモを表示したところ(筆者の環境におけるデモ)

IEは通常、「res://」プロトコルハンドラを使用したローカルリソースへのアクセスを制限している。しかし、ユーザにクリックと更新(ページの再読み込み)をするように誘導し、ローカルリソースへのアクセスを実現できれば、IE7の仕様を利用することができるとされる。その仕様とは、ローカルリソースへのパスをIE7は表示せず、直前のURLをそのままアドレスバーに残してしまうことだという。

この仕様と、HTTP応答によるリダイレクションを組み合わせ、さらに閲覧者を誘導できれば、偽のURLをアドレスバーに表示させることができるとされている。

ただし、ローカルリソースは「インターネットゾーン」で動作するように設計されているため、コマンド実行のような脅威には繋がらないという。

尚、本稿執筆の時点では、Microsoftの対処について公表されているものを見つけることはできなかった。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

映画「ヒメアノ~ル」濱田岳が自身の濡れ場に「誰が得するんだ」と自虐
[18:44 5/28] ホビー
[柿原徹也]ガルマ役への反響大きく「身が引き締まる」
[18:36 5/28] ホビー
[タブー・タトゥー]キービジュアル公開 メインキャラが集結
[18:31 5/28] ホビー
映画「オオカミ少女と黒王子」公開!ドS王子やチャラ王子は「面倒くさい」?
[18:21 5/28] ホビー
サイコム、秋葉ラジ館でゲームイベント - プロチームDeToNatorと対戦など
[18:13 5/28] パソコン

特別企画 PR

求人情報