IEで新たに見つかった“情報流出バグ” Edgeに切り替えるなら今か?アドレスバーの情報が常に取得される

Microsoftのインターネットエクスプローラ(IE)のアップデートにバグがあり、ユーザーがIEブラウザのアドレスバーに入力した情報が攻撃者に露見してしまうことが分かった。

2018年03月22日 05時00分 公開
[Nick LewisTechTarget]
画像 IEからEdgeへ切り替えるのが正解?

 Microsoftの最新のアップデートに存在する、IEの深刻なバグが発見された。セキュリティ研究家のマヌエル・カバレロ氏が発見したこのバグを悪用すればIEのアドレスバーに入力した全ての情報を、攻撃者が閲覧できる。このIEのバグはどれほど深刻なのだろうか?

 MicrosoftはIEを新しい「Microsoft Edge」ブラウザに置き換える予定だ。これは同社の戦略だが、顧客のWebブラウザのセキュリティを向上させるためでもある。だが、Windows 10にIEがインストールされていることも考慮に入れると、このブラウザが完全にお役御免となるまでには長い時間がかかるだろう。大抵の場合、ユーザーが新しいソフトウェアをインストールするのは、新しいシステムを導入する場合だけだからだ。

 既存システムのサポートをいつまで実施するかは、Microsoftやその他のソフトウェアベンダーにとって継続的な課題の1つである。そんな中で発見されたのが冒頭のバグだ。IEのアップデートにバグがあり、そのバグによって悪意あるWebページはIEのアドレスバーに入力したテキストを読める、つまり一種のURLトラッキングが可能となっていた。この思いがけない不具合の原因は、IEのアドレスバー内のテキストがlocation.hrefのようなHTTP環境変数として保存されるためだ。location.hrefは、現在表示されているWebページの情報を持つlocationオブジェクトのプロパティで、URLの取得と設定ができる。悪意あるWebページはLocation.hrefに保存されているデータをいつでも参照、保存、利用できる。

ITmedia マーケティング新着記事

news098.jpg

食品の高値安定傾向はどこまで続く?――インテージ調査
全国約6000店舗より収集している「SRI+(全国小売店パネル調査)」を基に実施した食品や...

news028.jpg

インターネット広告の新しいKPIと「アテンション」の再定義
最終回となる今回は、ターゲットに届いた広告の効果を正しく測定するための指標として「...

news158.png

売れるネット広告社、「売れるD2Cつくーる」にLP自動生成機能を追加
売れるネット広告社が「売れるD2Cつくーる」に、新たに「ランディングページ自動生成(AI...