Internet Explorerにアドレスバーへの入力内容が盗み取られる脆弱性

by Sean MacEntee

Internet Explorerには、悪意ある第三者が、一般ユーザーがアドレスバーに何を入れたのかという情報を取得できるという脆弱性があると判明しました。

Revealing the content of the address bar (IE) – Broken Browser
http://www.brokenbrowser.com/revealing-the-content-of-the-address-bar-ie/

Internet Explorer bug leaks whatever you type in the address bar | Ars Technica
https://arstechnica.com/information-technology/2017/09/bug-in-fully-patched-internet-explorer-leaks-text-in-address-bar/

これはウェブセキュリティの専門家であるMichael Caballero氏によって公開されたもの。

画像・動画・音声・HTML文書などの外部データを埋め込む時にはobjectタグが使用できます。しかし、Caballero氏によると、最新のInternet ExplorerでページのドキュメントモードをIE8以下に指定すると、objectタグとして埋め込まれたコンテンツはiframeのように振る舞いながらも、それがトップウィンドウであるかのように認識されるというバグがInternet Explorerにはあるとのこと。

そして、この状態で広告やムービーのような外部コンテンツに悪意あるHTMLあるいはJavaScriptのコードを挿入すると、攻撃者は、ウェブサイトのユーザーがアドレスバーに打ち込んだキーワードが何であるかを知ることができる状態になります。

Caballero氏は「PROOF OF CONCEPT」というテストサイトを作成しており、Internet Explorerで下記URLを開いて触ると、どのようなことが起こるのかが分かるようになっています。

PoC - Revealing the content of the address-bar on IE
https://www.cracking.com.ar/demos/ieaddressbarguess/

これが、悪意のある外部コンテンツが埋め込まれたという仮定のテストサイト。

アドレスバーにキーワードを打ち込むと……

「あなたの頭の中を読んでみましょう。あながが行きたいのはここのページだね」ということで検索ワードが攻撃者に取得されました。実際には、このようなページは表示されないので、ユーザーは知らないうちに自身の情報を取得されることになります。

どのように情報が取得されるのかは以下のムービーからも見ることができます。

Revealing the content of the address bar on IE - YouTube

Microsoftは2016年に最新版以外のInternet Explorerのサポート終了を発表しているものの、2017年現在もInternet Explorerのユーザーは多く存在し、Caballero氏は今回の脆弱性について「懸念すべきもの」と注意を促しています。「Microsoftは明確な言葉なくしてIEを捨てようとしています。ユーザーに対して『IEはEdgeのようなサービスを提供できない』と正直に言うことで、よりユーザーに乗り換えを促す作業は楽になるでしょう」「そして、完全に捨て去るのでなければ、セキュリティに関しては、IEはEdgeのような扱いを受けるべきだと私は固く信じています」と考えを述べています。