米Microsoftは,Internet Explorer(IE)の仕様を変更するパッチを公開する予定があることを表明した。URLを偽装されるセキュリティ・ホール対策だと考えられる。米国時間1月27日に明らかにした。パッチを適用すると,「http://[ユーザー名]:[パスワード]@[サーバー名].[ドメイン名]/[ファイル名]」の形式のURLをサポートしなくなる(関連記事)。公開時期は未定。
2003年12月上旬,IEに「アドレス・バー」や「ステータス・バー」および「プロパティ」に表示されるURLを偽装できるセキュリティ・ホールが見つかった(関連記事)。このセキュリティ・ホールを突けば,悪意があるWebページを,信頼できる企業/組織のWebページに見せかけることが可能となる。
このセキュリティ・ホールの危険性が叫ばれているものの,Microsoftからはいまだにパッチが公開されていない(関連記事)。このセキュリティ・ホールを突いた攻撃を回避するために提供されるのが,今回発表されたパッチだと考えられる。
公開予定のパッチを適用すれば,「http://[ユーザー名]:[パスワード]@[サーバー名].[ドメイン名]/[ファイル名]」といった形式のURLを打ち込むと「Invalid syntax error」と表示されるようになる。
これにより,「http://itpro.nikkeibp.co.jp:CGI=@192.168.0.1」といった紛らわしいURLを使われて,悪意があるサイトへ誘導されることを防げる(関連記事)。また,この形式とIEのセキュリティ・ホール(URLに「%01」などの文字が含まれている場合には,そのURLを適切に検証できないセキュリティ・ホール)を組み合わせたなりすましも防げる。
ただし今回発表された情報には,IEのセキュリティ・ホールについては明記されていない。「... malicious users can use this URL syntax together with other methods to create a link to a deceptive (spoofed) Web site ...」(悪意があるユーザーは,なりすましサイトへのリンクを作成するために,他の方法といっしょにこのURL形式を使える)と書かれているだけである。
公開予定のパッチで,特定の文字列を含むURLを適切に検証できないセキュリティ・ホールが解消されるかどうかは不明である。
(勝村 幸博=IT Pro)
