6月11日以降,Internet Explorer(IE)やMozillaに見つかったセキュリティ?ホールがメーリング?リストなどに投稿されている。悪用されると,実際アクセスしているサイトとは異なるURLをアドレス?バーに表示させられる。IEの場合には,「インターネットゾーン」のページを,制限が緩い「イントラネット」ゾーンや「信頼済みサイト」ゾーンで解釈させられる恐れがある。ァ◇ライン詐欺である「フィッシング」に悪用される可能性が高いセキュリティ?ホールである。対策は,とにかく「怪しいリンクをクリックしない」「リンクで誘導されたWebページに,個人情報を安易に入力しない」ことに尽きる。' _8 A$ v, A, }% `2 K p
セキュリティベンダーであるデンマークSecuniaは,これらのセキュリティ?ホールに関する情報をWebページで公開している。同社の情報によると,IE 6やMozilla 1.xには,URLの取り扱いに問題がある。このため,例えば,リンクに含めたURLに細工を施せば,そのリンクをクリックしたユーザーのIEやMozillaのアドレス?バーに,実際アクセスしているページとは異なるURLをアドレス?バーに表示させられる。1 t+ N G( b" N) C- P8 [3 c: o
具体的には,「http://[trusted_site](ある文字列)[malicious_site]/」とすれば,アドレス?バーには「http://[trusted_site](任意のスペース)[malicious_site]」のように表示させられる。このため,実際にアクセスしているのはmalicious_siteのページだが,trusted_siteのページにアクセスしているように見える。, ?' U% I! B' n8 R6 h# e
しかもIEの場合には,単にアドレス?バーを偽装されるだけではなく,セキュリティ設定を回避される可能性がある。上述の例では,アクセスしているサイトがmalicious_siteであっても,trusted_siteのセキュリティ設定が適用されるからだ。具体的には, malicious_siteのページがインターネットゾーンのページであっても,trusted_siteをイントラネットゾーンやの信頼済みサイトゾーンに登録している場合には,イントラネットゾーンや信頼済みサイトゾーンのページとしてmalicious_siteのページが解釈されてしまう。1 n" D, z; g n. o
とはいえ,どのサイトでも今回のセキュリティ?ホールを悪用できるわけではない。上記の例では,malicious_siteのドメインがwildcard DNSをサポートしていて,なおかつ不適切な「Host」ヘッダーを受け入れる場合のみ,悪用が可能であるという。% e( @/ H% p5 h" V5 P
アドレス?バーなどを偽装するセキュリティ?ホールは次々と見つかっている。このため,ベンダーの修正パッチが追いついていないのが現状だ。今後も同様のセキュリティ?ホールは見つかるだろう。ユーザーとしては,怪しいリンクをクリックしないことはもちろん,アドレス?バーなどの「見た目」を過信しないことが重要だ。Secuniaでは,対策として「信頼できないWebページやメールのリンクはクリックしない」「アドレス?バーのURLは手で入力する」ことを挙げている。IEについては,「すべてのゾーンでセキュリティ?レベルを「高」にする」ことも挙げているが,Secunia自身が「This will impair functionality on many web sites」と書いているように,あまり現実的ではないだろう。+ y7 c9 U4 ~1 Q3 @7 z( J; y
译文对照:. a/ B. B) p5 w* u6 J
6月11日以后,邮件列表等媒体相继刊出了Internet Explorer(IE)与Mozilla发现安全漏洞的消息。如果恶意利用这些漏洞,就会在地址栏中显示与实际访问网站不符的URL.如果使用IE,可能会用限制较低的“Intranet”区域与“受信任的站点”区域来解释“互联网区域”的网页。这些漏洞都是极有可能被在线欺诈“phishing”恶意利用的安全漏洞。对策是尽量“不要点击可疑的链接”、“在被链接所引诱到的Web网页,不要轻易输入个人信息”。 r' S* t* Q& ~- O7 D' K% T
安全产品开发商丹麦Secunia在Web网页上公开了有关这些安全漏洞的信息。据该公司的资料称,IE 6与Mozilla 1.x中都存在URL的处理问题。因此,只要对包含在链接中的URL做过手脚,用户点击这一链接后,IE与Mozilla地址栏中就会显示出与实际访问的网页不同的URL.
6 C+ [6 B$ X9 x5 `" W; V: P 具体而言,如果是“http://[trusted_site](某字符串)[malicious_site]/”,会在地址栏中显示“http: //[trusted_site](任意空格)[malicious_site]”。因此,实际上访问的是malicious_site网页,但看起来访问的却是trusted_site网页。
6 a% k2 q% _# r% F4 z4 F) G 而且在使用IE时,不仅只是伪装地址栏,还可能绕开安全设置,如在上述例子中,即使访问的站点是malicious_site,也会应用 trusted_site的安全设置。具体来说就是,即使malicious_site网页是互联网区域的网页,在trusted_site添加在 Intranet区域与受信任的站点区域的情况下,也可以把malicious_site网页解释为Intranet区域与受信任的站点区域的网页。
2 m7 W2 V1 C0 r e) e8 d 虽说这样,并非任何网站都能恶意利用此次的安全漏洞。在上述例子中,只有malicious_site的域名支持wildcard DNS,并且可以接受不恰当的“Host”报头时,才有可能被恶意利用。
3 T$ F# i1 g7 e 由于不断发现伪装地址栏等的安全漏洞,因此目前各厂商还来不及增加修正补丁,而且今后可能还会发现同样的安全漏洞。作为用户来说,不要点击可疑的链接自不用说,不要过于相信在地址栏等中的“所见”也是非常重要的。Secunia提出的对策是“不要点击不可靠的Web网页与邮件链接”、“自己在地址栏中输入URL”等。对于IE,还提出“所有区域均把安全水平设为‘高’”,但Secunia自己就注有“This will impair functionality on many web sites”的字样,因此恐怕不太现实。 |
发表于 2012-8-16 12:20:13
