logo

「Chrome」と「Safari」にアドレスバーの偽装が可能になるバグ

Zack Whittaker (ZDNet.com) 翻訳校正: 川村インターナショナル2015年05月20日 15時33分
  • このエントリーをはてなブックマークに追加

 Googleは「Android」版「Chrome」ブラウザのバグへのパッチをリリースした。攻撃者がこのバグを悪用すれば、ユーザーが実際に訪問しているウェブサイトとは別のサイトにアクセスしているように見せかけることが可能だった。

 このバグは、Rafay Baloch氏によって2月に発見され、修正後の米国時間5月18日に発表された。ブラウザのアドレスバーの偽装を可能にするバグで、被害者はそれだけで詐欺目的の電子メールやテキストメッセージを信用し、ユーザー名とパスワードを入力してしまうことがある。

 このバグは4月前半と後半にパッチがリリースされた。影響を受けたのは「Android 4.4 KitKat」と「Android 5.0 Lollipop」だ。

 この不具合について詳しく伝えたRapid7はユーザーに対し、通信事業者か携帯端末メーカーに問い合わせてパッチの適用を受けているか確認するよう呼びかけている。

 しかし、Appleに関しては悪い知らせがあり、同社は「Safari」ブラウザに見つかった同様の不具合を緊急で修正しなければならない。

 5月17日には、「iPhone」「iPad」「Mac」向けSafariのアドレスバーの偽装を可能にする概念実証エクスプロイトが公開された。このエクスプロイトは決して完全なものではなく、Safariが正しいアドレスを表示しようとして、エクスプロイトコードと戦っている様子が明らかに見られる。

 Appleはすぐにはコメントを発表しておらず、同社がこのバグを認識しているかどうかは不明だ。

 米ZDNetはセキュリティ研究者に問い合わせたが、本記事執筆時点で回答を得られていない。

figure_1
提供:CNET/CBS Interactive

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集