2004年11月03日(水) 21時39分

IEのステータスバーにURL詐称の問題（ITmediaエンタープライズ）

　Internet Explorerの下部にあり、今アクセスしているURLを示すはずのステータスバーの内容が偽装される脆弱性が指摘されている。

　この脆弱性は、HTML中にちょっと細工を施したTABLEタグを組み込むことによって、リンク先を示すステータスバーのURL表示を偽装させるというもの。ユーザーがアクセスするつもりのWebサイトとは別のサイトに誘導され、フィッシング詐欺などを仕掛けられる恐れがある。

　メーリングリストへの投稿によれば、Windows XP Service Pack 1とInternet Explorer 6およびOutlook Expressの組み合わせで、この脆弱性が確認されたという。

　IEについては過去にも、ステータスバーやアドレスバーの内容が詐称される恐れのある脆弱性が指摘されてきた。その解決策として「他のWebブラウザを用いる」「不審なWebサイトにアクセスしない」といった事柄と並んで「JavaScriptやActiveScriptを無効にする」ことが挙げられてきた。しかし、現在指摘されている偽装方法はスクリプト機能を用いるものではないため、この対策は意味をなさない。

　また、最初の指摘に続いて別の方法でステータスバーを偽装する手法も投稿された。未確認だが、この手法ならばWindows XP SP2を適用していても偽装が可能という。

http://www.itmedia.co.jp/enterprise/

http://headlines.yahoo.co.jp/hl?a=20041103-00000014-zdn_ep-sci