2018年03月22日 05時00分 公開
特集/連載

アドレスバーの情報が常に取得されるIEで新たに見つかった“情報流出バグ” Edgeに切り替えるなら今か?

Microsoftのインターネットエクスプローラ(IE)のアップデートにバグがあり、ユーザーがIEブラウザのアドレスバーに入力した情報が攻撃者に露見してしまうことが分かった。

[Nick Lewis,TechTarget]
画像 IEからEdgeへ切り替えるのが正解?

 Microsoftの最新のアップデートに存在する、IEの深刻なバグが発見された。セキュリティ研究家のマヌエル・カバレロ氏が発見したこのバグを悪用すればIEのアドレスバーに入力した全ての情報を、攻撃者が閲覧できる。このIEのバグはどれほど深刻なのだろうか?

 MicrosoftはIEを新しい「Microsoft Edge」ブラウザに置き換える予定だ。これは同社の戦略だが、顧客のWebブラウザのセキュリティを向上させるためでもある。だが、Windows 10にIEがインストールされていることも考慮に入れると、このブラウザが完全にお役御免となるまでには長い時間がかかるだろう。大抵の場合、ユーザーが新しいソフトウェアをインストールするのは、新しいシステムを導入する場合だけだからだ。

 既存システムのサポートをいつまで実施するかは、Microsoftやその他のソフトウェアベンダーにとって継続的な課題の1つである。そんな中で発見されたのが冒頭のバグだ。IEのアップデートにバグがあり、そのバグによって悪意あるWebページはIEのアドレスバーに入力したテキストを読める、つまり一種のURLトラッキングが可能となっていた。この思いがけない不具合の原因は、IEのアドレスバー内のテキストがlocation.hrefのようなHTTP環境変数として保存されるためだ。location.hrefは、現在表示されているWebページの情報を持つlocationオブジェクトのプロパティで、URLの取得と設定ができる。悪意あるWebページはLocation.hrefに保存されているデータをいつでも参照、保存、利用できる。

ITmedia マーケティング新着記事

news135.jpg

オープンソースCMS「Drupal」商用版提供のAcquiaが日本市場に本格参入
Acquiaは、日本支社としてアクイアジャパンを設立したと発表した。

news115.png

Macbee Planetの成果報酬型広告運用支援ツール「Robee」、DACのDMP「AudienceOne」とデータ連携
Macbee Planetは、同社が提供する成果報酬型広告運用支援ツール「Robee」を、デジタル・...

news018.jpg

ミレニアル世代の85%が動画視聴後に購入の意思決定――Brightcove調査
動画コンテンツは購入の意思決定にどう影響しているのでしょうか。