Windows版Internet ExplorerにURLを偽装できてしまう脆弱性
各所既報ですね。関連情報として私が見て回ったのは、
- IEにURLを偽装できるパッチ未公開の脆弱性が発見される(セキュリティホール memo)
- はてなダイアリー - hoshikuzu|stardustの書斎 さんの『普通のリンクでも出来るかなTEST』以降
- STUDIO KAMADA さんの日記の IE6の危険な不具合(更新#2) および 2003年12月11日(木)分
- バーチャルネットハッカーっ娘 沙耶16歳さんの『♪ 01 : MSIE:URI偽装ができるバグ、の続報』
です。
しばらくは、WindowsのIEはステておく方向で。ま、私はマカーなので今回のこれは特に困らない訳ですが。
さてしかし、カテゴリを[mac][security]としておりますのは。
この件で、ステータスバーの偽装までできてしまう例を提示されている
- hoshikuzu|stardustの書斎 さんの『12月11日追記3−−−偽装度アップの巻−−−』での“http://www.cnn.com/US/”(はてななので「http://〜」が自動リンクしちゃってますがご注意を)
- STUDIO KAMADA さんの日記の IE6の危険な不具合(更新#2) での“Google?”
をSafari 1.1.1 (v100.1) と Safari 1.0 (v85.6) とで検証してみたら、どうも挙動が違ったからなんですね。私の所だけかもしれないですけれども。
ちなみに、基本的にどちらもほぼ完全に環境設定を合わせてあります。日本語表示と英語表示の差があったりしますが。
以下、それぞれのスクリーンショット。
- 上記1. の hoshikuzu|stardustの書斎 さんの例
- 上記2. の STUDIO KAMADA さんの日記の例
なんでしょうね。この差は。
Security Update 2003-12-05(当日記の記事)でfixされたFrameworkに何か違いがあるんでしょうかね。
それともうひとつ、このSafariでのステータスバーの表示の件で気になるのは。
- セキュリティホール memo さんの『IEにURLを偽装できるパッチ未公開の脆弱性が発見される』内でのまとめの表では、「Safari 1.0」の「ステータスバー」は「○」、つまり大丈夫と受け取れる
- バーチャルネットハッカーっ娘 沙耶16歳さんの『♪ 01 : MSIE:URI偽装ができるバグ、の続報』の『♪ 01.02 : さらに』では、
…………すごーい。Win版MSIEはおろか、Mozilla,Mac版IE,Safari、すべてで再現しました
と述べられており、大丈夫ではないと受け取れる
という差があるってことなんですが。
私の手元、つまり上記のスクリーンショットでは、ステータスバーの表示に関しては
という結論なのですが...。