デモの実行例。USA Todayページの「Day in pictures」のリンクをクリックすると,Secuniaのサイトに置かれたコンテンツが表示される
デモの実行例。USA Todayページの「Day in pictures」のリンクをクリックすると,Secuniaのサイトに置かれたコンテンツが表示される
[画像のクリックで拡大表示]

 デンマークSecuniaは現地時間10月30日,Internet Explorer 7(IE 7)に新たな脆弱性が見つかったことを明らかにした。細工を施したリンクをクリックさせることで,別のWebサイトが表示するポップアップ・ウインドウに任意のコンテンツを表示させることができる。

 今回の問題は,2004年12月にSecuniaがIE 6やFirefoxやOpera,Safari,Konqueror,Netscapeといった主なブラウザで発見したもの。それが,IE 7でも確認されたとする(関連記事)。

 Secuniaでは,この問題を使ったデモ・ページを用意している。デモの手順は次のとおり。まず,Secuniaのデモ・ページに置かれたリンクをクリックしてUSA Todayのページを別ウインドウで表示させる。次に,同ページ中の特定リンクをクリックすると,本来はUSA Todayのコンテンツが表示されるべきところが,Secuniaのサイトに置かれたコンテンツがポップアップ・ウインドウとして表示される(写真)。これにより,悪質なコンテンツを信頼できるサイトからポップアップされたもののように思わせることができるという。

 今回の問題について,米Microsoftのセキュリティ・チームであるMSRC(Microsoft Security Response Center)ではセキュリティの脆弱性(security vulnerability)ではないとコメント(関連記事)。同社では2004年の時点で,同社の定義に基づいて,今回の問題はセキュリティの脆弱性ではないと判断。アドレス・バーやSSL接続を確認すれば,だまされることはないとしている。

 このコメントについて,Secuniaも公式ブログで反論。IE 7ではポップアップ・ウインドウにもアドレス・バーを必ず表示するようになったので,今回の問題によるリスクを緩和できることは認めているものの,それでも,ユーザーがだまされるシナリオが考えられるとする。例えば,SSLを利用しているオンライン・バンクなどのサイトにおいて,今回の問題を悪用したポップアップ・ウインドウが表示された場合には,たとえ異なるURLが表示されたとしても,ユーザーの多くはフィッシングとは気がつかないだろうとコメントしている。

デンマークSecuniaの情報
Secunia "Security Watchdog" Blog