★阿修羅♪ 現在地 HOME > 掲示板 > IT4 > 454.html
 ★阿修羅♪
次へ 前へ
IEにサイトの偽装許すバグ? MSが調査中【ZD_Net記事】
http://www.asyura2.com/0311/it04/msg/454.html
投稿者 クエスチョン 日時 2003 年 12 月 12 日 00:23:34:WmYnAkBebEg4M

(回答先: MS、「定例パッチなし」の告知当日にパッチリリース【ZD_Net記事】なんともはや(^^; 投稿者 クエスチョン 日時 2003 年 12 月 12 日 00:21:57)

2003/12/11 09:02:00 更新

IEにサイトの偽装許すバグ? MSが調査中【ZD_Net記事】
http://www.zdnet.co.jp/enterprise/0312/11/epn07.html

 米Microsoftは12月9日、Internet Explorer(IE)に「クラッカーによるWebサイト偽装を可能にするバグが含まれている」という報告について、現在調査中だと明らかにした。

 バグ研究者とデンマークのセキュリティ企業Secuniaが発した警告によると、このバグは、偽装したサイトで偽りのURLを表示する手口として使われる恐れがある。

 Secuniaは、発見者はBugtraqセキュリティメーリングリストにアラートを投稿した「Zap the Dingbat」と名乗る人物だとしている。そのアラートには脆弱性を突いたデモへのリンクが掲載されており、Microsoftは9日にバグに関する情報を受け取ったという。

 クレジットカードの番号やIDを盗む手口として、eBayなどのコマースサイトを装ったサイトにユーザーを誘導し、欺いて口座番号などの個人情報を入手するというやり方が横行している。

 Microsoftは「IEに脆弱性が含まれる可能性を指摘する新しい報告について調査中」との声明を出した。これを突いた活動や顧客への影響は「これまでに確認されていない」としている。

 Microsoftは調査に関する期日を定めていないが、最終的にはこの問題に対応するパッチをリリースする可能性があると話した。一方、ユーザーにはファイアウォールの使用、ソフトウェアのアップデート、ウイルス対策ソフトの導入など、基本的なセキュリティ対策を行うよう推奨している。

原文へのリンク

[Paul Festa,ZDNet/USA]

エンタープライズ:
Internet Explorerにオンライン詐欺を助長する新たな欠陥【CNET_Japan記事】
http://japan.cnet.com/news/ent/story/0,2000047623,20062654,00.htm

2003年12月10日(水) 20時02分

 米Microsoftのウェブブラウザ、Internet Explorer(IE)に新たな欠陥が発見された。あるセキュリティ研究者によると、この欠陥を利用したオンライン詐欺師は、インターネットユーザーを騙し、機密情報を開示させたり、悪意あるコードを実行させることが可能という。

 この新たな欠陥を利用することにより、巧妙に作られた特別なURLまたはリンク先に、攻撃者が選んだ任意のアドレスのサイトを表示しているかのように見えるブラウザウィンドウをロードさせることができる。例えば攻撃者は、一見www.zdnet.com.auのサイトを表示しているように見えるが、実際は別のソースからのコンテンツを表示しているウィンドウをロードすることができる。詐欺師たちは、この欠陥を利用した「フィッシング(ウェブ偽装)詐欺」によって、簡単にインターネットユーザーを騙して詳細な個人情報を集めることができる。例えば、送信元が、被害者のインターネットバンキングプロバイダとなっている電子メールや、同種のウェブサイトを使って、被害者にユーザー名やパスワードなど詳細な情報を入力するよう促すといったことが考えられる、とセキュリティ分野のリサーチエンジニア、Drew Copleyは指摘する。

 Copleyは、米国からの電話で「他人に成りすまして、被害者に実行可能なコンテンツを実行させることが可能」と述べ、さらに「この世の終わりというわけではないが、Microsoftの頭痛の種が増えることになる」と語った。

 ネットワークセキュリティ企業の米eEye Digital Securityに勤務するCopleyにとって、IEの欠陥はどちらかと言えば専門分野に入る。これまでCopleyは、広く普及しているこのウェブブラウザに内在するセキュリティ問題を数多く発見してきた。この欠陥は遠隔地からシステムに侵入するといった従来型の攻撃を可能にするものではないが、この欠陥に関する最大の不安は、ユーザーが何を信用すべきかという判断がつかなくなる恐れがある点だ、とCopleyは語る。

 「(アドレスが)本物に見えれば、他人に何かをダウンロードさせたり、実行させたり、パスワードなどを聞き出すことが可能だ」(Copley)

 しかしこの欠陥以外にも、Microsoftの撲滅予定リストの最上位にランクされそうな、より深刻な脆弱性が存在する、とCopleyは指摘する。最近いくつかの脆弱性が中国のセキュリティグループによって発見されており、そのうちの3つはシステムへの遠隔攻撃を可能にするものだという。

 ユーザーは、ブラウザのアクティブスクリプト機能を無効にすることで、こうした脆弱性を軽減できるが、そうするとブラウザはスクリプトやActiveXコードが実行できなくなるため、機能が制限されてしまう、とCopleyは指摘する。

 「もちろんActive Scriptingを無効にすることは可能だ・・・そうすることで自衛できるが、ウェブの閲覧にもかなりの支障が出るだろう」(Copley)。

関連記事:
Internet Explorer 6に新たな脆弱性--修正用パッチは未発表 - 2003年12月1日
セキュリティ専門家:「IEには穴がいっぱい」 - 2003年10月9日
米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず - 2003年9月8日
Windowsの脆弱性を悪用するコード公開でワーム攻撃の怖れ - 2003年7月28日

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

 次へ  前へ

IT4掲示板へ


フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。