Internet Explorerにアドレスバーへの入力内容が盗み取られる脆弱性

by Sean MacEntee

Internet Explorerには、悪意ある第三者が、一般ユーザーがアドレスバーに何を入れたのかという情報を取得できるという脆弱性があると判明しました。

Revealing the content of the address bar (IE) – Broken Browser
http://www.brokenbrowser.com/revealing-the-content-of-the-address-bar-ie/

Internet Explorer bug leaks whatever you type in the address bar | Ars Technica
https://arstechnica.com/information-technology/2017/09/bug-in-fully-patched-internet-explorer-leaks-text-in-address-bar/

これはウェブセキュリティの専門家であるMichael Caballero氏によって公開されたもの。

画像・動画・音声・HTML文書などの外部データを埋め込む時にはobjectタグが使用できます。しかし、Caballero氏によると、最新のInternet ExplorerでページのドキュメントモードをIE8以下に指定すると、objectタグとして埋め込まれたコンテンツはiframeのように振る舞いながらも、それがトップウィンドウであるかのように認識されるというバグがInternet Explorerにはあるとのこと。

そして、この状態で広告やムービーのような外部コンテンツに悪意あるHTMLあるいはJavaScriptのコードを挿入すると、攻撃者は、ウェブサイトのユーザーがアドレスバーに打ち込んだキーワードが何であるかを知ることができる状態になります。

Caballero氏は「PROOF OF CONCEPT」というテストサイトを作成しており、Internet Explorerで下記URLを開いて触ると、どのようなことが起こるのかが分かるようになっています。

PoC - Revealing the content of the address-bar on IE
https://www.cracking.com.ar/demos/ieaddressbarguess/

これが、悪意のある外部コンテンツが埋め込まれたという仮定のテストサイト。


アドレスバーにキーワードを打ち込むと……


「あなたの頭の中を読んでみましょう。あながが行きたいのはここのページだね」ということで検索ワードが攻撃者に取得されました。実際には、このようなページは表示されないので、ユーザーは知らないうちに自身の情報を取得されることになります。


どのように情報が取得されるのかは以下のムービーからも見ることができます。

Revealing the content of the address bar on IE - YouTube


Microsoftは2016年に最新版以外のInternet Explorerのサポート終了を発表しているものの、2017年現在もInternet Explorerのユーザーは多く存在し、Caballero氏は今回の脆弱性について「懸念すべきもの」と注意を促しています。「Microsoftは明確な言葉なくしてIEを捨てようとしています。ユーザーに対して『IEはEdgeのようなサービスを提供できない』と正直に言うことで、よりユーザーに乗り換えを促す作業は楽になるでしょう」「そして、完全に捨て去るのでなければ、セキュリティに関しては、IEはEdgeのような扱いを受けるべきだと私は固く信じています」と考えを述べています。

・関連記事
Intel MEの脆弱性を発見し保護システムを無効化した方法をセキュリティ研究者がBlack Hat Europe 2017で発表すると告知 - GIGAZINE

切符購入サービスの脆弱性を指摘した18歳のハッカーを通報して逮捕させた交通機関に抗議の「星1つ」レビューが4万5000件も殺到 - GIGAZINE

相手に気付かれることなくBluetooth経由でスマホを乗っ取ってしまえる脆弱性「BlueBorne」とは? - GIGAZINE

タダで飛行機に乗れる脆弱性を突いたハッカー、航空会社からの意外な対応に遭遇する - GIGAZINE

Googleがログインページの脆弱性を指摘されるも「問題なし」として放置することに決定 - GIGAZINE

アプリ権限を悪用してキー入力を記録・パスワード窃取・マルウェア入りアプリインストールなどやりたい放題できる脆弱性「Cloak and Dagger」はAndroidの設計上の問題で解決困難 - GIGAZINE

277

in ソフトウェア,  動画,  セキュリティ, Posted by logq_fa