6月11日以降,Internet Explorer(IE)やMozillaに見つかったセキュリティ?ホールがメーリング?リストなどに投稿されている。悪用されると,実際アクセスしているサイトとは異なるURLをアドレス?バーに表示させられる。IEの場合には,「インターネットゾーン」のページを,制限が緩い「イントラネット」ゾーンや「信頼済みサイト」ゾーンで解釈させられる恐れがある。ァ◇ライン詐欺である「フィッシング」に悪用される可能性が高いセキュリティ?ホールである。対策は,とにかく「怪しいリンクをクリックしない」「リンクで誘導されたWebページに,個人情報を安易に入力しない」ことに尽きる。8 x: n: H8 I9 \. C$ G1 l, H
セキュリティベンダーであるデンマークSecuniaは,これらのセキュリティ?ホールに関する情報をWebページで公開している。同社の情報によると,IE 6やMozilla 1.xには,URLの取り扱いに問題がある。このため,例えば,リンクに含めたURLに細工を施せば,そのリンクをクリックしたユーザーのIEやMozillaのアドレス?バーに,実際アクセスしているページとは異なるURLをアドレス?バーに表示させられる。: W* r; x2 _+ T
具体的には,「http://[trusted_site](ある文字列)[malicious_site]/」とすれば,アドレス?バーには「http://[trusted_site](任意のスペース)[malicious_site]」のように表示させられる。このため,実際にアクセスしているのはmalicious_siteのページだが,trusted_siteのページにアクセスしているように見える。 x0 U$ c; I( h2 Q: x% e7 K6 L
しかもIEの場合には,単にアドレス?バーを偽装されるだけではなく,セキュリティ設定を回避される可能性がある。上述の例では,アクセスしているサイトがmalicious_siteであっても,trusted_siteのセキュリティ設定が適用されるからだ。具体的には, malicious_siteのページがインターネットゾーンのページであっても,trusted_siteをイントラネットゾーンやの信頼済みサイトゾーンに登録している場合には,イントラネットゾーンや信頼済みサイトゾーンのページとしてmalicious_siteのページが解釈されてしまう。, p1 i1 Z* M9 w2 Z( L. B$ c
とはいえ,どのサイトでも今回のセキュリティ?ホールを悪用できるわけではない。上記の例では,malicious_siteのドメインがwildcard DNSをサポートしていて,なおかつ不適切な「Host」ヘッダーを受け入れる場合のみ,悪用が可能であるという。' N+ A9 o4 a5 i, `- {- a
アドレス?バーなどを偽装するセキュリティ?ホールは次々と見つかっている。このため,ベンダーの修正パッチが追いついていないのが現状だ。今後も同様のセキュリティ?ホールは見つかるだろう。ユーザーとしては,怪しいリンクをクリックしないことはもちろん,アドレス?バーなどの「見た目」を過信しないことが重要だ。Secuniaでは,対策として「信頼できないWebページやメールのリンクはクリックしない」「アドレス?バーのURLは手で入力する」ことを挙げている。IEについては,「すべてのゾーンでセキュリティ?レベルを「高」にする」ことも挙げているが,Secunia自身が「This will impair functionality on many web sites」と書いているように,あまり現実的ではないだろう。7 t$ ~2 x2 F( ~: z. Z- m" m
译文对照:. U, |/ [/ V- U7 z1 a" ?' y. i' D
6月11日以后,邮件列表等媒体相继刊出了Internet Explorer(IE)与Mozilla发现安全漏洞的消息。如果恶意利用这些漏洞,就会在地址栏中显示与实际访问网站不符的URL.如果使用IE,可能会用限制较低的“Intranet”区域与“受信任的站点”区域来解释“互联网区域”的网页。这些漏洞都是极有可能被在线欺诈“phishing”恶意利用的安全漏洞。对策是尽量“不要点击可疑的链接”、“在被链接所引诱到的Web网页,不要轻易输入个人信息”。
7 R @/ q i! H+ A7 P1 M 安全产品开发商丹麦Secunia在Web网页上公开了有关这些安全漏洞的信息。据该公司的资料称,IE 6与Mozilla 1.x中都存在URL的处理问题。因此,只要对包含在链接中的URL做过手脚,用户点击这一链接后,IE与Mozilla地址栏中就会显示出与实际访问的网页不同的URL.
- _- Y6 B: Z# u4 q" B) p/ X 具体而言,如果是“http://[trusted_site](某字符串)[malicious_site]/”,会在地址栏中显示“http: //[trusted_site](任意空格)[malicious_site]”。因此,实际上访问的是malicious_site网页,但看起来访问的却是trusted_site网页。
+ _& a/ i" y% Q3 ` l# h9 t2 c' p 而且在使用IE时,不仅只是伪装地址栏,还可能绕开安全设置,如在上述例子中,即使访问的站点是malicious_site,也会应用 trusted_site的安全设置。具体来说就是,即使malicious_site网页是互联网区域的网页,在trusted_site添加在 Intranet区域与受信任的站点区域的情况下,也可以把malicious_site网页解释为Intranet区域与受信任的站点区域的网页。: [8 b* }0 C& i P
虽说这样,并非任何网站都能恶意利用此次的安全漏洞。在上述例子中,只有malicious_site的域名支持wildcard DNS,并且可以接受不恰当的“Host”报头时,才有可能被恶意利用。
3 {6 i7 i* |* q* ~& t' E 由于不断发现伪装地址栏等的安全漏洞,因此目前各厂商还来不及增加修正补丁,而且今后可能还会发现同样的安全漏洞。作为用户来说,不要点击可疑的链接自不用说,不要过于相信在地址栏等中的“所见”也是非常重要的。Secunia提出的对策是“不要点击不可靠的Web网页与邮件链接”、“自己在地址栏中输入URL”等。对于IE,还提出“所有区域均把安全水平设为‘高’”,但Secunia自己就注有“This will impair functionality on many web sites”的字样,因此恐怕不太现实。 |
发表于 2012-8-16 12:20:13
