IE7のアドレスバーに偽のURLを表示させる脆弱性

 

米国時間の14日、Internet Explorer 7(IE7)のアドレスバーに偽のURLを表示させる脆弱性が発見された。情報セキュリティ関連のメーリングリストに寄せられている情報によると、この脆弱性はIE7のローカルリソースへのリダイレクションを使用するものであるという。

CNN.comのURLを偽装したデモを表示したところ(筆者の環境におけるデモ)

IEは通常、「res://」プロトコルハンドラを使用したローカルリソースへのアクセスを制限している。しかし、ユーザにクリックと更新(ページの再読み込み)をするように誘導し、ローカルリソースへのアクセスを実現できれば、IE7の仕様を利用することができるとされる。その仕様とは、ローカルリソースへのパスをIE7は表示せず、直前のURLをそのままアドレスバーに残してしまうことだという。

この仕様と、HTTP応答によるリダイレクションを組み合わせ、さらに閲覧者を誘導できれば、偽のURLをアドレスバーに表示させることができるとされている。

ただし、ローカルリソースは「インターネットゾーン」で動作するように設計されているため、コマンド実行のような脅威には繋がらないという。

尚、本稿執筆の時点では、Microsoftの対処について公表されているものを見つけることはできなかった。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

アッコ、極楽・山本は「性格すごいいいヤツ」-「頑張ってほしい」とエール
[12:23 7/31] エンタメ
[松本人志]やくみつるの「ポケモンGO」炎上にコメント
[12:00 7/31] エンタメ
松本人志、『27時間テレビ』に求める意外性「100時間」「とんねるずと」
[12:00 7/31] エンタメ
女子高生女流棋士・竹俣紅が解説『朝日新聞社杯 第2期将棋ウォーズ棋神戦』生中継
[12:00 7/31] エンタメ
ジュエリースナップ 第363回 saopiyoさん
[12:00 7/31] ライフスタイル

求人情報