デンマークのSecuniaとフランスのFrSIRTは現地時間4日、Internet Explorer(IE)にアドレスバーが偽装される脆弱性を確認したと発表、フィッシング詐欺に悪用される恐れがあると警告している。
2社の発表によると、この脆弱性は、「window.open」メソッドでブラウザウィンドウを開いた場合、ウェブコンテンツとFlash形式のファイル(.swf)をブラウザに読み込ませるタイミングによって発生する。悪用すると、アドレスバーに、実際に表示されているサイトのものとは別のURLを表示させることができるため、フィッシング詐欺に利用される恐れがある。
Secuniaでは、すべてのパッチを適用したWindows XP SP1/SP2で稼動するIE6.0と、IE7 Beta2 Previewでこの問題を確認。他のバージョンも影響を受ける可能性があるとしている。2社は回避策として、IEのアクティブスクリプトを無効にすることをあげている。
(2006/04/10 ネットセキュリティニュース)
■アドバイザリ(英文)
・Secunia
http://secunia.com/advisories/19521/
・FrSIRT
http://www.frsirt.com/english/advisories/2006/1218
2社の発表によると、この脆弱性は、「window.open」メソッドでブラウザウィンドウを開いた場合、ウェブコンテンツとFlash形式のファイル(.swf)をブラウザに読み込ませるタイミングによって発生する。悪用すると、アドレスバーに、実際に表示されているサイトのものとは別のURLを表示させることができるため、フィッシング詐欺に利用される恐れがある。
↓
2社の発表によると、この脆弱性は、ブラウザウィンドウで、ウェブコンテンツとFlash形式のファイル(.swf)を同時に表示させようとするとき、それぞれを読み込むタイミングのズレによって発生する。悪用すると、アドレスバーに、実際に表示されているサイトのものとは別のURLを表示させることができるため、フィッシング詐欺に利用される恐れがある。