Internet Explorer 6 に、フィッシング攻撃が仕掛けられてしまうという問題が警告されている。また最新の Windows XP SP2 環境でも防げない事に注意する必要がある。
![[External]](/~yano/parts/extlink.png)
セキュリティホール memoによると
IE 6 の DHTML Edit ActiveX コントロールにクロスサイトスクリプティング欠陥があるため、web サイトは本来のコンテンツに対して任意の JavaScript を挿入できる。これを利用すると、本来はできないはずのアドレスバーの URL 詐称や SSL 鍵アイコンの詐称などが可能となる。そうで、パソコンを乗っ取られたりウィルスに感染したりするような事はないものの、オンラインバンキングや決済系サイトの偽装に騙されると経済的な大損害が発生しかねない深刻なものだ。
修正プログラムはまだ無く、回避方法は ActiveX を無効とする事。また Windows XP SP2 に限り問題の DHTML Edit ActiveX コントロールだけを無効にする事ができるそうだ。手順はセキュリティホール memoを参照の事。
個人的にはこれを機に Internet Explorer 以外のブラウザに乗換えるというのも悪くないと思うが。
【参照】
●ITmedia http://www.itmedia.co.jp/
┣IEにクロスサイトスクリプティングを許す脆弱性、SP2でも防げず 2004年12月17日
┗IEにフィッシングの危険――ActiveXに問題 2004年12月20日
