Internet Explorer にURLの偽装を許す深刻な欠陥

Thu, 11 Dec 2003 00:00:00 +0900

が存在する事が判明。もちろん修正プログラムはまだ無く、この設定などによる完全な回避策も無い。ひとまず現状の Internet Explorer は危険すぎて使いものにならないので一時的にせよ代替ブラウザの使用を強く勧める。

取り敢えず先日リリースされた Opera の 7.23 にでも乗換えましょう。

これはHTMLのアンカータグに特定の制御コードを含める事により、アドレス(ステータス)バーに実際のリンク先とは無関係の文字列を表示させる事ができるという問題だ。例えばhttp://www.microsoft.com/jacked/というアンカーはいかにも某社のWebサイトへのハイパーリンクである印象を受けるが、クリックして実際に開くのはhttp://www.bravotouring.com/~yano/2003/msjacked.htmlである。

さぁ大変だ。この欠陥を悪用すればいちいちサーバーを立てなくてもオンラインバンキングやネット通販系のサイトを簡単に偽装する事ができる。って事は、カード番号、口座番号、パスワードなどを採り放題。頼みの綱であるSSLサーバー証明書によるチェック機能もあっさりパスしてしまうので、悪人ウハウハな史上最も危険な欠陥と言っても差し支えない深刻なものである。

しかし、INTERNET Watchによると

この点について、マイクロソフト取締役経営戦略担当の東貴彦氏は「一部で報道されたIEの脆弱性については認識している」とコメント。ただし、まだ攻撃コード（exploit code）が発見されていないことから緊急度は低く、「修正プログラムの開発を急がせて、不十分なものにならないよう、12月の“月例”修正プログラムではリリースしなかった。準備ができ次第公開したい」と語った。

さらに毎月の修正プログラム配布についても言及。「今後は、配布スケジュールを現在の1カ月に1度から3カ月ごと、もしくは半年ごとに変更することも考えている」とコメントした。

という顛末で、本質的なリスクを全く理解できていない模様。結局ここが一番深刻な欠陥なのかもしれない。

【参照】
●INTERNET Watch http://internet.watch.impress.co.jp/
┗IEにURLを偽装できるパッチ未公開の脆弱性が発見される 2003年12月11日
●jp.opera.com http://www.jp.opera.com/
┗OPERA 7.23 for Windows (日本語版) http://www.jp.opera.com/download/

2003/12/11 on Yano's digital garage

Internet Explorer にURLの偽装を許す深刻な欠陥