https://www.bravotouring.com/~yano/archives/2004/10/30/ Recent content in 2004/10/30 on Yano's digital garage Hugo en-us Sat, 30 Oct 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20041030.htm Sat, 30 Oct 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20041030.htm <p>週末は雨という天気予報はハズレまくり。晴れるんなら<a href="http://www.autopolis.jp/" target="SubWindow">オートポリス</a>に<a href="http://www.jgtc.net/" target="SubWindow">GT選手権</a>を観に行ったのに....今週末もついてなさそうだ。</p> <p>さて<a href="http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2004.10/msg00345.html" target="SubWindow">http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2004.10/msg00345.html</a>で<a href="http://www.microsoft.com/japan/ie/" target="SubWindow">Internet Explorer</a>にURLを偽装できるバグがある事が指摘されている。具体的に言うと<blockquote class="Log"><A href="http://www.microsoft.com/japan/"><TABLE><TR><TD><A href="http://www.google.com/">マイクロソフトっぽい？</A></TD></TR></TABLE></A></blockquote>とAタグの中にTABLEタグを折り込んでネストする事により、内部アンカーのURLを隠蔽し、外部アンカーで偽装できるというものだ。</p> <p>手元で確認してみたところ<a href="http://www.microsoft.com/japan/ie/" target="SubWindow">Internet Explorer</a>だけでなく、<a href="http://www.mozilla-japan.org/products/mozilla1.x/" target="SubWindow">mozilla</a>と<a href="http://www.mozilla-japan.org/products/firefox/" target="SubWindow">Firefox</a>でもステータスバーにhttp://www.microsoft.com/japan/と表示される事を確認した。正しくhttp://www.google.com/と表示できたのは <a href="http://www.jp.opera.com/" target="SubWindow">Opera</a> 7.53 だけだ。<span class="Note">ちなみに<a href="http://www.mozilla-japan.org/products/mozilla1.x/" target="SubWindow">mozilla</a>と<a href="http://www.mozilla-japan.org/products/firefox/" target="SubWindow">Firefox</a>では左クリックではhttp://www.microsoft.com/japan/が開かれ、右クリックからのオープンではhttp://www.google.com/が開かれるという問題も確認した。</span></p> <p>参考まで上記HTMLを文中に実装したのが後続の部分だ。マイクロソフトに見せかけているが、クリックするとGoogleが開く。TABLEタグの影響で改行される為に <a href="http://www.microsoft.com/japan/" target="SubWindow"><TABLE><tr><td><a href="http://www.google.com/" target="SubWindow">マイクロソフトっぽい？</a></td></tr></TABLE></a> となり、若干違和感があるが、下のようにURLを書いておけば違和感は無くなる。<a href="http://www.microsoft.com/japan/" target="SubWindow"><TABLE><tr><td><a href="http://www.google.com/" target="SubWindow">http://www.microsoft.com/japan/</a></td></tr></TABLE></a>取り敢えず<span class="Recommend">リンクをクリックした場合はアドレスバーを良く確認する</span>しかない。</p> <p><span class="Worning">義援金詐欺が流行の気配</span>だっちゅうのに困ったもんだ。</p> <p class="Reference">【参照】 <br/>●セキュリティホール memo <a href="http://www.st.ryukoku.ac.jp/~kjm/security/memo/" target="SubWindow">http://www.st.ryukoku.ac.jp/~kjm/security/memo/</a> <br/>┗<a href="http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/10.html#20041029_URL" target="SubWindow">New URL spoofing bug in Microsoft Internet Explorer</a> 2004年10月29日 </p>