IEにURLを偽装できるバグ
Internet Explorerに新たな欠陥が発見されました。これを利用するとアドレスバーに表示されるURLを自由に変更できるため、例えばログイン画面のURLは正しいのに実体は偽物偽のログイン画面を作っておいてそこに誘導したときに、アドレスバーなどに表示されるURLが正規のものに見えるというような詐欺が可能になります。この欠陥に対応する修正プログラムは、まだありません。現在のところ、有効な対策は「IEを使わない」しかないようです。
- %01でURL表示欄を偽装する
- IEに新たなバグ -- 偽サイトが本物に見える恐れあり(CNET Japan)
- IEにURLを偽装できるパッチ未公開の脆弱性が発見される(INTERNET Watch)
- IEにURLを偽装できるセキュリティ・ホール,安易なクリックは禁物(IT Pro)*1
- http://www.st.ryukoku.ac.jp/~kjm/security/memo/2003/12.html#20031211_IE
誰でも簡単に、アドレスバー / ステータスバーの URL を偽装できてしまいます。「現状の IE は危険すぎて使いものにならない」と言い切ってしまってよいでしょう。
*1:この記事では「プロパティ」を確認することで回避できると書かれていますが、最初のリンク先にあるように「プロパティ」まで含めた擬装が可能です。「安易なクリックは禁物」とありますが、安易じゃなくても危険ということです。