セキュリティ?ベンダーのデンマークSecuniaなどは6月30日,Internet Explorer(IE)に見つかったセキュリティ?ホールを公表した。Webページに細工を施すと,フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させることが可能となる。つまり,細工が施されたページにIEでアクセスすると,悪意のあるコンテンツが埋め込まれた有名企業のWebページを表示させられる可能性がある。
“フィッシング(メールを使った詐欺)”などに悪用可能なセキュリティ?ホールである。パッチは未公開なので,「信頼できないページにアクセスしない」「別のブラウザを使う」ことなどが対策となる。
セキュリティ?ホールの発見者である「http-equiv」は,このセキュリティ?ホールを検証するためのデモを公開している。デモ?ページにIEでアクセスすると,Windows Updateのページが表示されるが,フレームのひとつには米Microsoftとは無関係のサイトのページが表示される。
アドレス?バーを含めたWindows Updateの表示部分は,Microsoftが用意する“本物”のページである。今回のセキュリティ?ホールを突くようなページにIEでアクセスすると,そのページで指定したページ(デモでは「windowsupdate.microsoft.com」)のフレームに,同じくそのページで指定した別サイトのページ(デモでは「malware.com」)を埋め込んだ形で表示させられるのである。
もちろん,IEの仕様ではこのようなことは許可していない。もし許せば,悪意のあるコンテンツ(例えば,個人情報を入力させて盗むようなコンテンツ)を,有名企業のページの一部に見せかけることが可能になってしまうからだ。1998年には,同じようなセキュリティ?ホールがIE 3.x/4.x に見つかったために,Microsoftはパッチを公開した。ところが,IE 5.x/6.x には依然存在するのである。このためSecuniaでは,「6 year old vulnerability」と記述している。
当然のことながら,例えば「windowsupdate.microsoft.com」にアクセスした際に,悪意のあるコンテンツがフレームに埋め込まれて表示されるようなことはない。細工を施した悪意のあるページにアクセスした場合のみ,「有名企業のコンテンツ+悪意のあるコンテンツ」が同じ画面上に表示されるのである。このため,「怪しいページにアクセスしない/怪しいリンクをクリックしない」ことが対策となる。Secuniaでは,IE以外のブラウザを使うことも対策として挙げている。
オンライン詐欺に悪用できる危険なセキュリティ?ホールである。IEユーザーは十分注意してほしい。
| 译文对照: |
|
丹麦安全销售商Secunia等于6月30日公开了在Internet Explorer(IE)中发现的安全漏洞(英文)。如果在Web网页中做手脚,可能在使用框架的任意Web内容中显示任意内容。也就是说,如果使用IE访问被做过手脚的网页,可能会显示嵌入恶意内容的著名企业的Web网页。
这是一个可以恶意使用“Phishing(使用邮件进行欺诈)”等的安全漏洞,由于补丁尚未公开,因此对策为“不要访问不可靠的网页”、“使用其他浏览器”等。
安全漏洞的发现者“http-equiv”公开了验证这一安全漏洞的示范。在示范网页中通过使用IE访问后,虽然显示Windows Update的页面,但其中一个框架却显示了与美国微软毫无关系的网页。
在包括地址栏的Windows Update显示部分,是微软的“真正”网页。在突破此次安全漏洞的网页中通过IE访问后,在该网页指定的网页(示范中为“windowsupdate.microsoft.com”)的框架中,嵌入了该网页指定的其他网站的网页(示范中为“malware.com”)。
当然,IE的设置是不允许发生这种情况的。因为如果允许,就可以把带有恶意的内容(比如让人输入个人信息进行窃取的内容)伪装成著名企业网页的部分内容。由于1998年曾在IE 3.x/4.x中发现过同样的安全漏洞,微软已公开了补丁(英文)。但该漏洞仍然存在于IE 5.x/6.x中,因此被Secunia形容为“6 year old vulnerability”。
当然,在访问“windowsupdate.microsoft.com”时,不会在框架里嵌入带有恶意的内容并显示出来。只有访问被做过手脚带有恶意的网页时,才会在同一页面上显示“著名企业的内容+带有恶意的内容”。因此,可以采取“不访问可疑网页,不点击可疑链接”的对策。Secunia提出的另一对策是使用IE之外的浏览器。
这是一个可被在线欺诈恶意利用的危险安全漏洞。IE用户务必提高警惕! | |
