IEのURL偽装できるやつ。
昨日の日記の続き。結局中途半端なテストしかできずに放置気味になってしまいました。ようやく仕事が一段落。
id:hoshikuzuさんとこ 12月11日追記3−−−偽装度アップの巻−−−
によってリンクステータス部分、ページプロパティに関しても偽装可能なことが証明されました。
kamadaさんとこ IE6の危険な不具合
セキュmemoにまとめ IEにURLを偽装できるパッチ未公開の脆弱性が発見される(memo)
以下はニュース系
- IEにサイトの偽装許すバグ? MSが調査中(ZDNet)
- IEに新たなバグ -- 偽サイトが本物に見える恐れあり (CNET)
- IEにURLを偽装できるパッチ未公開の脆弱性が発見される (INTERNETWatch)
- Internet Explorerにオンライン詐欺を助長する新たな欠陥(CNET)
〜緊急度が低いため、パッチはまだリリースしない(MS取締役東氏)
オイオイ。
追記:
どうしてもデモがうまく動かないと思っていたのは実はかなり勘違いだったことが発覚(´д`;;http://www.zapthedingbat.com/security/ex01/vun2.htm にMicrosoftのロゴがあったなんて(恥ずかしい勘違い&今度の飲みネタにしておこう) というかソーシャルに弱すぎなんで欺術読んで修行します(最近やっと買った)
各所に出ていますが対策としてはステータスバーの偽装も可能なので
- 脆弱性のないブラウザを使う
- リンク先アドレスを一度コピーして貼り付けて確認する
です。ブラウザ毎の脆弱性のまとめは上記のセキュmemoのページにまとまってます。
P.S.Operaのステータスバーはデフォルトで表示されていないだけなので表示させればIEと同じように出ます。
追記:kamadaさんのページで「アドレス確認」ボタンというのがリリースされてます。アドレスバーの偽装を確認するものでIEのリンク、お気に入りに入れて確認する。っていってもやっぱ面倒なんでしばらくIEは使わないが正解かも。