デンマークSecuniaなどは現地時間4月4日,Internet Explorer(IE)にアドレス・バーを偽装できる問題が見つかったことを明らかにした。細工が施されたWebページにアクセスすると,アドレス・バーに表示されているURLとは異なるサイトのFlashコンテンツ(.swf)をブラウザ内に表示させられる。
今回の問題は,window.open()で開いた同じブラウザ・ウインドウに,WebページとFlashコンテンツを表示させようとすると競合状態が発生することが原因。競合状態が発生すると,アドレス・バーにはWebページのURLが表示されて,ブラウザ内にはFlashコンテンツが表示される場合がある。
この問題を悪用すれば,アドレス・バーには信頼できる企業などのURLを表示させ,ブラウザ内には偽のコンテンツを表示させることが可能となる。つまり,フィッシング詐欺に悪用できる。
Secuniaによれば,この問題は,すべてのパッチを適用したWindows XP SP1/SP2+IE 6の環境で確認されているという。また,ほかのバージョンにも同じ問題があるだろうとしている。
現時点では,米Microsoftからはこの問題に関する情報や修正パッチ(更新プログラム)などは公表されていない。Secuniaではアクティブスクリプトを無効にすることを回避策として挙げている。アクティブスクリプトを無効にすれば,window.open()は機能しない。
この問題を悪用するには,攻撃者は,細工を施したWebページにユーザーを誘導する必要がある。このため,信頼できないサイト(ページ)にアクセスしないことが,有効な回避策である。
【4月6日追記】Secuniaは現地時間4月5日,今回の問題を検証するためのデモ・ページを公開した。デモを実行すると,アドレス・バーには米Google(www.google.com)のURLが表示された状態で,Secuniaのコンテンツが表示される。【以上,4月6日追記】
◎参考資料
◆Internet Explorer Window Loading Race Condition Address Bar Spoofing
◆Microsoft Internet Explorer Flash File Loading Address Bar Spoofing Vulnerability
◆Internet Explorer Address Bar Spoofing Vulnerability Test
