★阿修羅♪ 現在地 HOME > 掲示板 > IT5 > 363.html
 ★阿修羅♪
次へ 前へ
リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意【IT_Pro記事】
http://www.asyura2.com/0401/it05/msg/363.html
投稿者 クエスチョン 日時 2004 年 4 月 07 日 19:19:05:WmYnAkBebEg4M
 

 スクリプトでなく、フォームタグを使ってステータスバーを偽装できると言う事は、デフォルト状態の「インターネット」ゾーン設定を、厳しく設定し直してもやられてしまうと言うことだ。同じく、デフォルトで「制限付きサイト」レベルセキュリティ設定のOEでも前々安心できずHTMLメールで偽装されてしまう。いやはや。(^^;

[2004/04/05]

リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意【IT_Pro記事】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040405/142470/

 セキュリティ・ベンダーであるデンマークSecuniaなどは現地時間4月1日,Internet Explorer(IE)にステータス・バーを偽装できるセキュリティ・ホールがあることを公表した。HTMLメールのレンダリングにIEを使うOutlook Express(OE)も影響を受ける。パッチは未公開。対策は「怪しいリンクはクリックしないこと」や「HTMLメールをテキストで表示させる設定にすること」など。

 今回公表されたセキュリティ・ホールの“ポイント”は,スクリプトなどを使わずに偽装できること。IE(およびIEを使うOEなど)では,リンクにマウス・ポインタを当てると,左下にリンク先のURLが表示される。URLが表示されるこの部分がステータス・バーである。

 ステータス・バーの表示は,スクリプトなどを使えば偽装できる。このため,IEのセキュリティ設定が,スクリプトを解釈するような設定(例えば,デフォルト状態の「インターネット」ゾーン)である場合には,容易に偽装されてしまう。セキュリティ設定を厳しくしていない場合には,ステータス・バーの表示を過信してはいけない。

 逆に,セキュリティ設定が厳しい場合(例えば,デフォルト状態の「制限付きサイト」)には,スクリプトなどは解釈されないので,ステータス・バーの表示はある程度信頼できる。OEではデフォルトで「制限付きサイト」に設定されているので,以前見つかったセキュリティ・ホールがふさがれていれば,ステータス・バーの表示をある程度信頼できた(関連記事)。

 しかしながら,今回公表されたセキュリティ・ホールを使えば,スクリプトを使うことなくステータス・バーの表示を偽装できる。具体的には,フォーム・タグを使って偽装できる。このため,HTMLメールを制限付きサイトで表示するOEでも,ステータス・バーを偽装されてしまう恐れがある。

 今回のセキュリティ・ホールは,phishing(フィッシング)などに悪用される可能性が高い(関連記事)。OEユーザーは特に注意する必要がある。米Microsoftからは,セキュリティ情報やパッチは公開されていない。現在考えられる対策は,怪しいリンクはクリックしないこと。すべてのメールをテキスト形式で表示されることも有効な対策だ。HTMLメールは表現力が高い半面,ユーザーに見えない形で悪意がある細工を施せてしまう。

 セキュリティの観点からは,「いつもはテキスト形式で表示させて,問題がないHTMLメールを読む場合だけ,HTML形式で表示させる」といった使い方が望ましい。OEでは,「ツール」の「オプション」メニューで表示される「読み取り」タブの「メッセージはすべてテキスト形式で読み取る」で容易に切り替えられる。

◆Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing(デンマークSecunia)

(勝村 幸博=IT Pro)

<“偽装”関連>
“phishing”の新たな手口が出現,「今まで見たことがない」――業界団体 (2004/04/02)
「アドレス詐称を防ぐ技術は詐欺メール対策にも有効」――センドメール小島社長 (2004/03/25)
米Network Associates,企業および個人にフィッシング対策を指南 (2004/03/17)
phishing――だましのメールに釣られるな (2004/03/15)
リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意 (2004/04/05)
IEに,ダウンロードするファイル名を偽装されるセキュリティ・ホール (2004/01/29)
米MS,“URLの偽装問題”対策としてIEの仕様を変更するパッチを提供予定 (2004/01/29)
URL偽装にご注意を!―Symantecのウイルス研究者が警告 (2004/01/28)
解消されない“URLの偽装問題”,1月もIEのパッチは公開されず (2004/01/21)
URLを偽装できるIEのセキュリティ・ホールは危険,「プロパティ」情報も信用できない (2003/12/17)
IEにURLを偽装できるセキュリティ・ホール,安易なクリックは禁物 (2003/12/11)

 次へ  前へ

IT5掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。