IEで新たに見つかった“情報流出バグ” Edgeに切り替えるなら今か?:アドレスバーの情報が常に取得される
Microsoftのインターネットエクスプローラ(IE)のアップデートにバグがあり、ユーザーがIEブラウザのアドレスバーに入力した情報が攻撃者に露見してしまうことが分かった。
Microsoftの最新のアップデートに存在する、IEの深刻なバグが発見された。セキュリティ研究家のマヌエル・カバレロ氏が発見したこのバグを悪用すればIEのアドレスバーに入力した全ての情報を、攻撃者が閲覧できる。このIEのバグはどれほど深刻なのだろうか?
MicrosoftはIEを新しい「Microsoft Edge」ブラウザに置き換える予定だ。これは同社の戦略だが、顧客のWebブラウザのセキュリティを向上させるためでもある。だが、Windows 10にIEがインストールされていることも考慮に入れると、このブラウザが完全にお役御免となるまでには長い時間がかかるだろう。大抵の場合、ユーザーが新しいソフトウェアをインストールするのは、新しいシステムを導入する場合だけだからだ。
併せて読みたいお勧め記事
「Edge」に移行すれば安全? Microsoftの思惑
- IEからMicrosoft Edgeへ、乗り換えを急かすMicrosoftの“あの手この手”
- Windows 10では「Internet Explorer」「Microsoft Edge」のどちらを使うべきか
- 「Microsoft Edge」が“究極の安全ブラウザ”に一歩近づくセキュリティ新機能とは?
IEは本当に危険なのか
- 「Internet Explorer」の“非常に危険な”脆弱性をGoogleが発見、「Edge」にも影響か
- 「Internet Explorer」旧版のサポート終了で現場が混乱中、使い続けるリスクとは
既存システムのサポートをいつまで実施するかは、Microsoftやその他のソフトウェアベンダーにとって継続的な課題の1つである。そんな中で発見されたのが冒頭のバグだ。IEのアップデートにバグがあり、そのバグによって悪意あるWebページはIEのアドレスバーに入力したテキストを読める、つまり一種のURLトラッキングが可能となっていた。この思いがけない不具合の原因は、IEのアドレスバー内のテキストがlocation.hrefのようなHTTP環境変数として保存されるためだ。location.hrefは、現在表示されているWebページの情報を持つlocationオブジェクトのプロパティで、URLの取得と設定ができる。悪意あるWebページはLocation.hrefに保存されているデータをいつでも参照、保存、利用できる。
Copyright © ITmedia, Inc. All Rights Reserved.