hainamluke氏は、Internet Explorer(IE)にURLを詐称可能な脆弱性が存在することを報告した。Flashフォーマット・ファイル(swfファイル)をロードする前後で異なるURLのWebページを開かせることで、アドレス・バーに表示されているページとは異なるURLを示すことが可能であるとしている。報告に実証コードが示されていたので、DA
Labで実行してみたのだが、Windows 2000+IE 6 SP1、Windows XP SP1+IE 6 SP1、Windows XP SP2+IE
6 SP2のいずれの環境においても脆弱性は実証できなかった。
・Bugtraq(Another Internet Explorer Address Bar Spoofing Vulnerability):
http://www.securityfocus.com/archive/1/429719/30/120/threaded
・Secunia(Internet Explorer Window Loading Race Condition Address Bar Spoofing):
http://secunia.com/advisories/19521/
その後、Secuniaがこの脆弱性を報告し、脆弱性を実証可能なWebページを公開した。DA Labではこの実証コードを実行し、Windows 2000+IE
6 SP1、Windows XP SP1+IE 6 SP1、Windows XP SP2+IE 6 SP2のいずれの環境でも、URLが詐称されることを確認した。
・Secunia(Internet Explorer Address Bar Spoofing Vulnerability Test):
http://secunia.com/
Internet_Explorer_Address_Bar_Spoofing_Vulnerability_Test/
この実証コードでは、swfファイルの表示の前後で異なるURLのページを開くように記述されている。その際に、setTimeoutによって一定時間後に表示を行わせることにより、ブラウザ内で競合状態が起こり、URLが詐称される。下記の実証コードでは、アドレス・バーに「http://www.hotfix.jp/」が表示された状態で、「http://www.d-advantage.com/」のページが表示されることになる。
<script language="JavaScript">
function openWin(url)
{
window.open(url, 'window');
}
function StartTest()
{
openWin('http://www.hotfix.jp/');
setTimeout("openWin(<swfファイル>);", 300);
setTimeout("openWin('http://www.d-advantage.com/');", 2500);
}
</script>
|
この脆弱性は、フィッシング・サイトなどに悪用される危険性が高いものだ。特に銀行や証券会社、インターネット・ショップなどのWebページへのリンクには十分に注意する必要がある。少しでも不審な点があるなら、クレジット・カード番号などの重要な情報を入力する前に、アドレス・バーのURLをコピーして別のブラウザで表示させる、などの注意を払った方がよいだろう。
|