2004年12月18日

IEだとURLが偽装される脆弱性を体験できるサンプルサイト

先日Microsoftに連絡する前にWindowsXPでの脆弱性発見を公表し、Microsoftから批難されたセキュリティベンダーSecuniaが、ITmediaによると「IEにクロスサイトスクリプティングを許す脆弱性、SP2でも防げず」と発表したらしく、IEだと細工を施したリンクを開くと、アドレスバーが偽装される様子が体験できる。ソースRinRin王国さん
-


ITmediaによると、セキュリティベンダーSecuniaが公開した脆弱性の実証ぺージでは、「Test Now - Left Click On This Link」というリンクがあり、IEでリンクをクリックすると左側の画像のようなhttps://www.paypal.com/というURLが表示されるものの、右側の本物のページではない。

Secuniaが公開した実証ページでのリンクはjavascriptになっていて、IEでもActiveXを無効にするとクリックしてもリンク先の偽装ページにいけなくなるが、デフォルト設定のままのOparaやFIREFOXでは、Secuniaの脆弱性実証ページのリンクをクリックしてもなにも起きない。

この問題を修正するパッチは、マイクロソフトからは提供されていない。Secuniaでは当面の自衛策として、IEのセキュリティ設定を変更し、インターネットゾーンのセキュリティレベルを「高」にするよう推奨している。つまり、ActiveXコントロールを無効にすべき、ということだ。
ITmediaより
【関連記事】
「これが偽サイトに設置された偽の(Yahoo!ウォレット)ログイン画面なのだが、これが偽だと見抜けるだろうか? 」by 高木浩光氏
「われわれが後ろ盾となって、われわれが修復しているから、われわれが作っているから、より安全なのだ。」by Microsoft CEOバルマー氏

WindowsXP SP2以外のOSで使うIEには最新のセキュリティー対策を提供しないMicrosoft

【関連リンク】
Secuniaによる脆弱性を実証するためのWebサイト
ダイヤルアップユーザーの共有ドライブが公開される - XP SP2に問題
Microsoftがスパイウェア対策企業買収、Windowsユーザーにソフト提供へ


この記事はPCパーツ[2004] カテゴリーに含まれています |Ajax Amazon Edit
トラックバックURL
http://trackback.blogsys.jp/livedoor/geek/10941893
この記事へのトラックバック
Internetwatchより IE 6にクロスサイトスクリプティングの脆弱性 ITProより IEにクロスサイト・スクリプティング攻撃を許すぜい弱性,ページ偽装やCookie盗難の危険
IE6にクロスサイトスクリプティングの脆弱性【ネットワークの備忘録】at 2004年12月18日 12:48
 アキバBlog(秋葉原ブログ)さんでも紹介されていますがこの脆弱性(ぜいじゃくせい)、かなり深刻です。  IEにクロスサイトスクリプティングを許す脆弱性、SP2でも防げず(ITmedia エンタープライズより) Secuniaは12月16日、Internet Explorerにクロスサイトスクリプ
IEのURL偽装を手軽(?)に体験できるサンプルサイト【kqtrain.net(Blog)】at 2004年12月18日 16:13
アキバBlogの「IEだとURLが偽装される脆弱性を体験できるサンプルサイト」によると、セキュリティベンダーSecuniaが公開した脆弱性の実証ぺージというものがあるそうだ。IEでその中のリンクをクリックすると、本物と同じURLに偽装した偽者のページが呼び出される。...
ネット証券も気をつけたい、クロスサイトスクリプティングを使ったフィッシング詐欺【ネット証券Blog】at 2004年12月18日 22:54
ど〓せすぐ見破れるんでしょ?とか思ってたが甘かった。これはやばい。
IEのURL詐称【約定期blog】at 2004年12月19日 21:39