パスワードを忘れた? アカウント作成
768437 submission
ニュース

IEのURLを偽装できる脆弱性についてのサポート技術情報

タレコミ by MIYU
MIYU 曰く、

INTERNET Watchによると、 マイクロソフトから、 12日のスラッシュドット IEにURLを偽装できる脆弱性で指摘されていた、 IEの入力確認エラーが原因で発生し、 URLを偽装して個人情報などを入力させることなどが可能になる脆弱性 についての回避策、 「サポート技術情報 - 833786 」 が出ています。

マイクロソフトは、すでに、 成りすましたウェブサイトに騙されない方法についてというWebサイト で偽装への警戒を呼びかけていますが、今回の技術情報では、 URLに「%00」「%01」「@」のいずれかが含まれている場合は注意する。 Webサイト内リンクの URL は、テキストエディター上に表示して確認する。 Web ページの URL については、JScript コマンドを使用して、ダイアログボックスに表示させるか、[履歴] バーを表示させ、 アドレス バーに表示されている URL と、[履歴] バーに表示されている URL を比較する。 など、成りすましたウェブサイトの詳細な確認方法を説明しています。

蛇足ですが、 “サポート技術情報はMicrosoft Knowledge Baseに基づいて作成されています。含まれている情報は、いかなる保証もない現状ベースで提供されるものです。本文書に含まれている情報の使用及び使用結果につき、 正確性、真実性等、いかなる表明・保証も行ないません。”
セキュリティ修正プログラム、早く出してくださいね。


以下はサポート技術情報の詳細です。

URLに「%00」「%01」「@」のいずれかが含まれている場合は注意する。

Webサイト内リンクの URL を特定する為の方法
リンクを右クリックし、[ショートカットのコピー] をクリックする。 テキストエディター上で [貼り付け] をクリックし、 貼り付けられた URL を確認します。

Web ページの URL を特定する為の方法
方法 1
Internet Explorer で JScript コマンドを使用します。 アドレス バーに次のコマンドを入力し、Enter キーを押します。 a:javascript:alert("実際の URL アドレス: " + location.protocol + "//" + location.hostname + "/"); b:javascript:alert("実際の URL は次のとおりです: " + location.protocol + "//" + location.hostname + "/" + "\nアドレス URL は次のとおりです: " + location.href + "\n" + "サーバー名が異なる場合には、成りすましたサイトである可能性があります。");
URLが確認できる、ダイアログボックスが表示されます。
方法 2
アドレス バーに表示されている URL と [履歴] バーに表示される URL を比較します。 両方の URL が一致しない場合、 その Web サイトは成りすましたサイトの可能性があります。

「IEのセキュリティレベルを“高”に設定する」 、「WebサイトのURLを信頼済みサイトゾーンに追加する」、 「メールをテキスト形式で表示する」など、 セキュリティを強化する為の情報も記載されています。
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...